Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Patrik Chrz 30. 07. 2012, 16:36:37
-
Přišel mi mail, který se tvářil jako z důvěryhodné adresy a v příloze byl html dokument. Kromě poviných údajů v hlavičce tam byl jen následující script:
Editor: Po dohodě s autorem byl skript odstraněn. Obsahoval javascriptový virus.
Tak si říkám, jestli někdo neví, co to dělá. Slovo "script" jsem úmyslně "poškodil", nevím, jestli by to nemohlo něco udělat zde na stránce.
-
Právě mi napsal jeden čtenář, že mu NOD32 hlásí, že na stránce je trojský kůň „JS/Iframe.FC“. Takže to je asi odpověď. Můžu ten kód smazat, aby to nezlobilo a nehlásilo poplach třeba na Google?
-
Jo jasně, aspoň vím odpověď.
-
Vytvoří to iframe, který obsahuje stránku s dalším podobně obfuskovaným, akorát delším kódem, který kontroluje jaké máte pluginy a dál nevím, byl jsem líný celý ten delší skript číst :) Asi ale nedělá nic hezkého
-
Jen dotaz - teoreticky, jak mě může otevření takové stránky poškodit? Mám XUbuntu a prohlížeč Chromium. Může vůbec?
-
zalezi, co ten kod dela
pokud vyuziva chyby nejakeho pluginu/prohlizece, muze klidne nadelat paseku i v xubuntu
tady ale prichazi v uvahu pouze flash/java, ale na 99% to bude cilene jenom na windows, pripadne jako phishing
-
DK, díky, se mi ulevilo :). Pokud by se někdo jo nudil, docela by mě zajímalo co teoreticky je schopný takový vhodně napsaný script udělat. Přenastavit DNS? Má na to nějaký vliv to, že mám v cestě router s nastavenými open DNS?
Mě zaujalo jak strašně jednoduchý byl - co já vím 20, 30 znaků, víc ne, pak dlouhá řada číslic oddělených tečkami a ukončená podobnou sekvencí. Toť vše.
-
Hoď to na pastebin, nebo jako .js na Ulož.to nebo tak něco, ať se můžem mrknout :)
-
tohle snad Google vadit nebude:
ftp://84.42.202.205/ftp_pub/skript/
-
ze zacatku to vypada jako nejaka reklama, pak, jak jsem rozsifroval ten dalsi kod, zjistuje to instalovane pluginy a prohlizec a podle toho, po zbeznem prozkoumani, to pousti flash video, pripadne urcity java soubor, dokonce tam testuji i pdf
plus je tam urcity shellcode, na ktery jsem kratky
kdo by si to chtel prohlednout, tak zde
http://pastebin.com/qh8f6ft5
-
A shrnutí? Nějaké riziko pro Linux? Nebo jen pro Windows?
-
zalezi, co delaji konkretni flash a java soubory -> bud je to ciste reklamni vec, nebo to vyuziva der dane technologie -> muze to neco udelat, ale taky nemusi (protoze vetsina je cilena na windows, takze predpokladam, ze na linuxu to nic neudela)
-
A shrnutí? Nějaké riziko pro Linux? Nebo jen pro Windows?
Souvisí to s tímhle?
http://www.root.cz/zpravicky/zakerny-kod-utoci-na-windows-mac-i-linux/
-
Patrik Chrz:
Podle Vasi fotky bych si myslel, ze budete poradna bedna a IQ tak nejmene 160. Mate mozek tak 2x vetsi nez ja :). Docela se divim, ze jste neprisel na to co to presne dela :-P.
JS kod podle me dela to, ze zkotroluje pluginy a pokud najde verzi pluginu takovou, ktera ma chybu a pro kterou je napsany shellcode, pouzije to. Tim padem pronikne do systemu prostrednictvim nejakeho pluginu, ktery ma v sobe diru.