Exploit.JS.Pdfka.alz
Вот тут: _http://sony.deepfoto.eu/counter/indexo.php//indexo

У всех так или только у меня?

аваст заблокировал соединение с вредноносным сайтом, опера упасть не успела.

тоже самое аваст заблочил!

отключил ав, опера не упала. страница выглядела так
http://s44.radikal.ru/i106/0911/eb/95fe5651f73e.jpg

Хе, Каспер как бы заблочил, но Опера свалилась всё равно...

отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg

Хм,интересно У меня кис заблочил сайт,опере тоже упала

может вам касперский оперу валит? :D

Думаю скорее всего из-за этого.С фф и Ие захожу,браузеры не падают:)

Предположение что сплоит эксплуатирует багу в каком-то плагине Adobe (судя по названию: Exploit.JS.Pdfka) но у меня не стоят никакие плагины для просмотра pdf в браузере Опера.
Получается ситуация KIS+Opera 10.01 фатальна.

Зашёл повторно - Опера устояла, типо чё иммунитет приобрела? :D
P.S. Ненравится мне что-то эта ситуация... ;)

у меня и без всяких сплойтов опера 10.01 частенько падает, кста, тоже kis стоит :D

upd:
вот и описание нарыл)

http://www.securelist.com/ru/descriptions/12478810/Exploit.JS.Pdfka.ti

Не упала. Пустая страница и 3 единички.

Деструктивная активность
При активации эксплоит проверяет версию Adobe Acrobat/Reader и в зависимости от этого выполняет следующие действия:
- в случае версии 8-8.1.2 эксплоит использует уязвимость, существующую из-за ошибки форматной строки в JavaScript функции "util.printf()" при обработке строк, передаваемых в качестве аргументов (CVE-2008-2992).
- для других версий эксплоит использует уязвимость переполнение буфера при вызове функции "Collab.collectEmailInfo" (CVE-2007-5659).
Эксплоит загружает файл со следующего URL: http://f7*****8080/welcome.php?id=5&hello17 На момент создания описания ссылка не работала. В случае успешной загрузки скачанный файл записывается во временный каталог текущего пользователя. %Temp%\pdfupd.exe После чего запускается на выполнение и эксплоит завершает свою работу. (взято с http://www.securelist.com/ru/descriptions/12478810/Exploit.JS.Pdfka.ti
гг, у меня акробат не устаовлен видимо поэтому опера не упала.

у меня и без всяких сплойтов опера 10.01 частенько падает, кста, тоже kis стоит :D

upd:
вот и описание нарыл)

http://www.securelist.com/ru/descriptions/12478810/Exploit.JS.Pdfka.ti

Ясно... новая модификация Exploit.JS.Pdfka.alz
P.S. Акробат не стоит, но есть фотошоп. ;)
Кстате, загрузчик (Trojan-Downloader.JS.Major.e) тут: _http://leon-favorit.cn/images/index.php//index

Ясно... новая модификация Exploit.JS.Pdfka.alz
P.S. Акробат не стоит, но есть фотошоп. ;)
Кстате, загрузчик (Trojan-Downloader.JS.Major.e) тут: _http://leon-favorit.cn/images/index.php//index
http://s04.radikal.ru/i177/0911/b3/a0136eaf9c9a.jpg гг ;)

содержимое регистров и часть дампа стека при падении Оперы

OPERA-CRASHLOG V1 desktop 10.01 1844 windows
Opera.exe 1844 caused exception C0000005 at address 064D7E52 (Base: 400000)

Registers:
EAX=08214408 EBX=08DF07B0 ECX=0012E664 EDX=00000000 ESI=08214408
EDI=08214408 EBP=0012E798 ESP=0012E62C EIP=064D7E52 FLAGS=00050202
CS=001B DS=0023 SS=0023 ES=0023 FS=003B GS=0000
FPU stack:
40178214408000000000 40178214408000000000 00000000000000000000
401789EEB08000000000 F0E4000402020000001B 003B0012F0EC00000000
00EF0000003BEBE68AD8 EBFC00000039E1B1F008 SW=4020 CW=027F

Stack dump:
0012E62C 00000060 068F5995 0012E894 08F756B8 `...•YЏ”и.ёVч
0012E63C 08D030B0 08F756B8 065021FC 08DF07C0 °0РёVчь!PАЯ
0012E64C 0012E664 00000000 0012E798 00000001 dж.....˜з.
...
0012E65C 00000000 08E043A9 0821440E 00000002 ....©Cа.D!...
0012E66C 00000000 00000001 00000000 00000001 ....
.......
...
0012E67C 0650130E 0012E8C4 0821440E 0001040E .PДи..D!.
.
0012E68C 068F598C 06501331 070BDEC0 08F756B8 ЊYЏ1PАЮ.ёVч
0012E69C 070BDEC0 00000000 0BD55000 00000000 АЮ......PХ.....
0012E6AC 070D1298 070D1240 06508157 00000000 ˜.@.WЃP....
0012E6BC 06318D2D 00000000 070D1240 063C036A -Ќ1....@.j<
0012E6CC 08E093A0 00000000 070D40A0 063C037E *“а....*@.~<

у меня опера не упала хотя антивирус выключен

у меня опера не упала хотя антивирус выключен
Удачно пробился браузер? :D

EP']отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg


значит у тебя просто 10.0 у меня тоже не обновленно

значит у тебя просто 10.0 у меня тоже не обновленно
Да я вижу по внешнему виду, это просто наверно десятка, у меня рюшечки и крестики на вкладках в другом месте. ;)

EP']отключил аваст, опера не упала, вот что отобразило:
http://s55.radikal.ru/i150/0911/c4/75eb2ffd8afd.jpg
это вообще 9я опера
================
чета мне ссыкатно, я по вашим ссылкам ходить не буду :D

Opera
Версия: 10.01
Сборка: 1844
Платформа: Win32

не упала, ибо аваст заблокировал линк, а после прочтения темы, мне ссыкотно тестить))

сорцы страницы: http://pastebin.org/54623
там грузятся два фрейма, в зависимости от плагинов:
Если магия:
<iframe src="f.php"></iframe>
Если акробат:
<iframe src="readme.php"></iframe>

Магия заключается в
NufhxBHMlo2=KOKSzfOxeX1.exec(navigator[oJonMOLXaX10("plugins")][ZZFdaJIGsy0][oJonMOLXaX10('description')]);
if(NufhxBHMlo2!=null && NufhxBHMlo2[1]==7+2 && NufhxBHMlo2[2]==0 && NufhxBHMlo2[3]<103+21)
.....
непонятный if..


PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.

Версия:
10.10 Beta

Сборка:
1833

Платформа:
Win32

Система:
Windows XP

Версия Java:
Sun Java Runtime Environment version 1.6

Модуль XHTML+Voice:
Плагин не загружен

Идентификация браузера:

Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10

фейл. нет ни АВ ни фаервола

Версия:
10.10 Beta

Сборка:
1833

Платформа:
Win32

Система:
Windows XP

Версия Java:
Sun Java Runtime Environment version 1.6

Модуль XHTML+Voice:
Плагин не загружен

Идентификация браузера:

Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10

фейл. нет ни АВ ни фаервола


Ну а как насчёт продукции Adobe?

не 9 у меня опера!
http://s61.radikal.ru/i171/0911/81/2dfd746f86ea.jpg - вотЬ :)
я просто тему поставил!
---
из продукции Adobe стоит фотошоп кс 2... эксплоит ваш как я уже писал неработает у меня :)

function oJonMOLXaX10(nununu) :D

PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.
Опера 10.0 Ничего не виснет)

Опера 10.0 Ничего не виснет)
у меня 10.01 повисла :)

PS. http://mrthe.name/dos/ до сих пор всех подвешивает. Opera висит под настроение, не понятно от чего зависящее.
Исходники фреймов попробуй вытащить, скриптом сплоит выбирается в зависимости от плагинов, это ясно. Интересно было бы глянуть какой контент скрипты выдают.


Сайты на сервере(ReverseIP):
776607.ru [113.105.152.33]
alfafoxx.com [113.105.152.33] - фишинг атака
bizlaw-ns.org [113.105.152.33]
financial-aic.com [113.105.152.33]
hack-myspace.com [113.105.152.33]
test.acsam.eu [113.105.152.33]
www.facebook-hacking.com [113.105.152.33]
www.hack-icq.com [113.105.152.33]
www.hacked-facebook.com [113.105.152.33]
www.hacking-facebook.com [113.105.152.33]
www.newdiplom.ru [113.105.152.33]
www.vzlom-kontakt.ru [210.51.187.44] - уже анрег домена, оперативно... :D

Ууу... да тут целый платсдарм хекконвеера :D

В моей 10.10 опере проблемы с flash, практически всегда оперу валят флеш баннеры с майл.ру и некоторые приложения из контакта...Такая же шняга была на бета версии 10...

Version information
Version
10.00

Build
1750

Platform
Win32

System
Windows XP

Java
Sun Java Runtime Environment version 1.6

XHTML+Voice
Plug-in not loaded

аутпост4 + есет4

не пробил

Запрашиваемый URL-адрес не может быть предоставлен

В запрашиваемом объекте по URL-адресу:

http://sony.deepfoto.eu/counter/indexo.
php//indexo

Обнаружена угроза:

объект заражен Exploit.JS.Pdfka.alz
Сообщение создано:
9:38:46
Антивирус Касперского 2010
Последние базы)

Решил продолжить:
Взял фф, замаскировал под оперу.
Подгрузился readme.php
http://pastebin.org/55213
Путём не сложных преобразований, видим, что там зашифрованно это - http://pastebin.org/55216
ещё немного, и мы получаем сам сплоит http://pastebin.org/55217
если честно - я в ахуе, как всё банально, а ещё больше, я в ахуе от того, что оно работает.
exe, по идее, лежит тут _ttp://sony.deepfoto.eu/counter/indexo.php/img.php?page=6, но обращаться нужно с реферером opera:config, но у меня не получилось, там с разу идёт редирект на opera:about. А когда я выключил редирект в браузере - уже не выдавалось, то, что нужно(

кстати, криптор js там динамический.

Да это походу из за плагина
без фаера заходил ошибка мускула и всё!

Даже без антивиря и файрвала оперу 9.10 не трогает :D

Тишина...
http://s52.radikal.ru/i136/0912/75/43b1514ac9abt.jpg (http://radikal.ru/F/s52.radikal.ru/i136/0912/75/43b1514ac9ab.jpg.html)

Кто то совсем доломал бедный сплоит )))

содержимое регистров и часть дампа стека при падении Оперы

OPERA-CRASHLOG V1 desktop 10.01 1844 windows
Opera.exe 1844 caused exception C0000005 at address 064D7E52 (Base: 400000)

Registers:
EAX=08214408 EBX=08DF07B0 ECX=0012E664 EDX=00000000 ESI=08214408
EDI=08214408 EBP=0012E798 ESP=0012E62C EIP=064D7E52 FLAGS=00050202
CS=001B DS=0023 SS=0023 ES=0023 FS=003B GS=0000
FPU stack:
40178214408000000000 40178214408000000000 00000000000000000000
401789EEB08000000000 F0E4000402020000001B 003B0012F0EC00000000
00EF0000003BEBE68AD8 EBFC00000039E1B1F008 SW=4020 CW=027F

Stack dump:
0012E62C 00000060 068F5995 0012E894 08F756B8 `...•YЏ”и.ёVч
0012E63C 08D030B0 08F756B8 065021FC 08DF07C0 °0РёVчь!PАЯ
0012E64C 0012E664 00000000 0012E798 00000001 dж.....˜з.
...
0012E65C 00000000 08E043A9 0821440E 00000002 ....©Cа.D!...
0012E66C 00000000 00000001 00000000 00000001 ....
.......
...
0012E67C 0650130E 0012E8C4 0821440E 0001040E .PДи..D!.
.
0012E68C 068F598C 06501331 070BDEC0 08F756B8 ЊYЏ1PАЮ.ёVч
0012E69C 070BDEC0 00000000 0BD55000 00000000 АЮ......PХ.....
0012E6AC 070D1298 070D1240 06508157 00000000 ˜.@.WЃP....
0012E6BC 06318D2D 00000000 070D1240 063C036A -Ќ1....@.j<
0012E6CC 08E093A0 00000000 070D40A0 063C037E *“а....*@.~<

:eek: :mad: блин у меня позавчера такая же шняга была...с оперы гледел кое что потом бац...мля первый раз душил эту гадость всяко разно....

эту ссылку не проверял, но у моей оперы свои тараканы..
после обновления с 10.0 до 10.10, при заходе на свою почту gmail, опера стала падать.. и просит отправить отчет им..
в 10.0 такого не было