|
|
| | Дата |
|
| USD/RUB | 93.7196 | | BTC/USD | 59761.1399 |
|
|
|
| Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
17.12.2008, 02:33
|
#1
|
|
Advanced member
Регистрация: 04.05.2007
Сообщений: 4,337
Бабло: $458645
|
Дрянь
Интересует что делает данный код:
Код:
$VAR1 = {
'last_resource' => 'http://www.[покоцано].biz/',
'time_at' => '2008-11-29 05:06:08.253',
'os_processes' => [
{
'pid' => '2392',
'regkeys' => [],
'name' => 'C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE',
'process_files' => [
{
'name' => 'C:\\WINDOWS\\winv5x6iSuYgU.exe',
'file_content' => {
'sha1' => '5ac7cc02e07227ad5bd4d0b39ba5e4dc931548d5',
'md5' => '5423ed5bea53ebe3714b12c2bbb2ed59',
'size' => '27648',
'mime_type' => 'application/x-ms-dos-executable'
},
'event' => 'Write',
'time_at' => '2008-11-29 05:06:08.253'
}
]
},
{
'stopped' => '2008-11-29 05:06:11.909',
'created' => '2008-11-29 05:06:10.628',
'regkeys' => [],
'pid' => '2464',
'parent_name' => 'C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE',
'parent_pid' => '2392',
'name' => 'C:\\WINDOWS\\winv5x6iSuYgU.exe',
'process_files' => []
}
]
};
Один умник через ифрейм и сутру грузит сплоит... |
|
|
|
17.12.2008, 02:39
|
#2
|
|
Юниор
Регистрация: 13.12.2008
Сообщений: 15
Бабло: $500
|
данный код формирует массив данных... а вот нафига он это делает - я хз. 
__________________
Закрыая парнерка, высокий конверт. Первая неделя - выплаты по 100%. за инвайтами и подробностями в личку.
|
|
|
|
|
17.12.2008, 02:43
|
#3
|
|
хуйнанэ
Регистрация: 03.04.2007
Сообщений: 1,294
Бабло: $126446
|
весь функционал winv5x6iSuYgU.exe тут
а что он делает без реверса не узнать
|
|
|
|
|
17.12.2008, 02:50
|
#4
|
|
Advanced member
Регистрация: 04.05.2007
Сообщений: 4,337
Бабло: $458645
-->
|
ТС
Если файла winv5x6iSuYgU.exe нет все в порядке?
IEXPLORE.EXE чистый, проверил на virustotal и virscan. Дата послд. изменения 15 октября. |
|
|
|
|
17.12.2008, 02:52
|
#5
|
|
хуйнанэ
Регистрация: 03.04.2007
Сообщений: 1,294
Бабло: $126446
|
а тот код что ты дал не может выполниться - это просто дамп какой то
|
|
|
|
|
17.12.2008, 03:06
|
#6
|
|
ChefJavaProgrammierer
Регистрация: 05.04.2007
Сообщений: 1,165
Бабло: $15090
|
ну судя по тому, что в этом дампе у ехе файла есть время запуска и время остановки, и они различаются, то я хз - проверяй систему антивирами и трояноловами
|
|
|
|
|
17.12.2008, 03:07
|
#7
|
|
Advanced member
Регистрация: 04.05.2007
Сообщений: 4,337
Бабло: $458645
-->
|
ТС
Зашел на WP блог (v2.6), глюканула опера (v9.63), закрыл через ctr+alt+del. Открыл блог повторно глянул исходный код, в нем ифрейм, ведет на тдску. По урлу в гугле нашел этот код и что он грузит с той схемы. Avira молчит, сканю Dr.Web.. *в раздумья*.
|
|
|
|
|
17.12.2008, 03:39
|
#8
|
|
googlebot
Регистрация: 28.06.2008
Адрес: Panama
Сообщений: 93
Бабло: $515
|
код из связки сплойтов под осла, судя по всему
|
|
|
|
|
17.12.2008, 03:41
|
#9
|
|
Юниор
Регистрация: 13.12.2008
Сообщений: 15
Бабло: $500
|
что то где то учпущено. где то должен быть обработчик. либо этот кусок как то работает с браузером (например пишет что то через дыру и т.д.)
__________________
Закрыая парнерка, высокий конверт. Первая неделя - выплаты по 100%. за инвайтами и подробностями в личку.
|
|
|
|
|
17.12.2008, 04:42
|
#10
|
|
Senior Member
Регистрация: 06.11.2008
Сообщений: 858
Бабло: $126418
|
все дружно юзаем comodo internet security и блочим вражеский ифрэймы, ТС ты попал на связку сплойтов. тебе прогрузили лоадер, проверяй исходящие конекты и меняй пароли пока не поздно
__________________
страдал хуйней 
|
|
|
|
|
Линейный вид
