Финансовые потоки...

Fagot

Guest

Это нравится:0 Да/0 Нет

25.05.2004 19:24:53

Привет!

Постоянно твердят про финансовые потоки, кормящие террористов... а вот Вам ЕЩЕ одна причина существования хакеров.

источник:http://review.country.ru/cgi-bin/ikonboard/ikonboar d.cgi?s=57f99a4b90052f278ba3b76e08b6e0bd;act=ST;f=5;t=241;st =20

Цитата

А очень просто - при попустительстве Рамблера народ уже начал распространять трояны для накртки своих счетчиков. Приведу только один пример, остальных пускай Рамблер сам ищет, для этого не нужно быть семи пядей во лбу, достаточно иногда обращать внимание на невероятную посещаемость некоторых сайтов, особенно в праздничные дни.

Так вот, обещанный пример:
На нескольких посещаемых сайтах в нулевом фрейме грузится скриптик internetsolution.ru/xxx.php (ЧАЙНИКАМ, КОТОРЫЕ НЕ ЗНАЮТ, ЧТО ТАКОЕ ТРОЯНЫ, ЭТУ ССЫЛКУ НЕ ГРУЗИТЬ!!!).
Этот скрипт устанавливает на компы юзеров троян, который потом при каждом подключении юзера к инету крутит в бэкграунде счетчики сайта RPSN.RU

Наверное уже десятки, если не сотни юзеров пашут на то, чтобы RPSN в рабочие дни занимал первые места в Топ100 Рамблер.

Вот ответ на вопрос, как им удается накручивать.
Но остается вопрос, почему так долго Рамблер не видит такой явной наглой и преступной накрутки.

Nekto Guest	#2 Это нравится:0 Да/0 Нет 25.05.2004 19:59:27 Ссылка не открывается. С удовольствием бы посмотрел этот троянчик....

Fagot

Guest

Это нравится:0 Да/0 Нет

25.05.2004 20:06:33

Цитата
Nekto пишет: Ссылка не открывается. С удовольствием бы посмотрел этот троянчик....

Да ссылку они прикрыли, но трян остался

А мне бы этот php'шник было бы интересней посмотреть

Nekto

Guest

Это нравится:0 Да/0 Нет

27.05.2004 12:58:16

Но позвольте.
Счетчики далеко не глупы. Они проверяют и хрефера в HTTP заголовке. В винде есть средства, которые можно использовать что бы его генерить?

ИМХО. Проще тем же LWP через анонимные прокси и с подстановкой окружения на подставном сервере, да с автозапуском в кроне.

И хрен всем в задницу

Nekto Guest	#5 Это нравится:0 Да/0 Нет 27.05.2004 13:00:22 Кстати, не сбросишь тот троянчик на sergey@volgoart.ru Просто интересно...

offtopic Editor Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003	#6 Это нравится:0 Да/0 Нет 27.05.2004 14:17:09 Реферер я тебе сгенерирую телнетом

Nekto Guest	#7 Это нравится:0 Да/0 Нет 27.05.2004 14:21:12 Черезчур заморочно Хотя, попробуй Сколько будет весить троянчик? И никто нугаться не будет?

offtopic Editor Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003	#8 Это нравится:0 Да/0 Нет 27.05.2004 14:31:53 трончик бкдет состоять из одного текстового файлай и батника и весить в приделах килобайта и никто ругаться не будет эх, моложешьь

Nekto

Guest

Это нравится:0 Да/0 Нет

27.05.2004 14:45:06

Хм....
В какую сторону мне начинать капать?
Интересно же....

Я всегда довольствовался серверными "хулиганствами"
Скрипт "обвода вогруг носа" весит 0,6 кб + база по анонимным проксям. И никаких заморочек.

И сам троянчик можно где-нибудь посмотреть? Мыло выше.
Заранее благодарен

Fagot Guest	#10 Это нравится:0 Да/0 Нет 27.05.2004 19:19:17 Привет! Троян г... регистрирует ATL сервер и по таймеру запускает IE. Имеет две ошибки . Активация: запускается файл WINRPX.exe который из своей ресурс секции вытаскивает IEAKREP.DLL и регистрирует его :regsvr32 /s IEAKREP.DLL по таймеру используя функцию URLDownloadToFile пытается загрузить исполняемые модули с "http://.../file.php?id=1", сохраняя их под именем rawsapi.exe во временном каталоге запускает из, после чего их удаляет. Удаление: через regsvr32 /u IEAKREP.DLL PS: Если загрузки исполняемых модулей были, то полностью вычистить систему будет трудно... Fagot

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?