CGM - Показать сообщение отдельно

droopy · 24.02.2008, 05:40

цепочка работы трояна была такая
mirpokera->хттп://howtooth.com/help/css/doc/ru1tr.gif->хттп://web-money.cn/arm/index.php
в конце цепочки сейчас кроме смайлика ^_~ ничего нет
правда есть вероятность, что скрипт проверяет параметры заголовка http запроса и кому попало трояна не пихает, а только если находит тип браузера необходимой версии.
А тем у кого не определился могу только сказать, что уже много раз видел подобную схему: <script>document.write(String.fromCharCode(чис� �а))</script > с редиректом через промежуточный сайт, так что ищите в коде страницы подстроку ".fromCharCode"

24.02.2008, 05:40	#33 (permalink)
droopy Ветеран Регистрация: 28.03.2004 Сообщений: 1,248	цепочка работы трояна была такая mirpokera->хттп://howtooth.com/help/css/doc/ru1tr.gif->хттп://web-money.cn/arm/index.php в конце цепочки сейчас кроме смайлика ^_~ ничего нет правда есть вероятность, что скрипт проверяет параметры заголовка http запроса и кому попало трояна не пихает, а только если находит тип браузера необходимой версии. А тем у кого не определился могу только сказать, что уже много раз видел подобную схему: <script>document.write(String.fromCharCode(чис� �а))</script > с редиректом через промежуточный сайт, так что ищите в коде страницы подстроку ".fromCharCode" __________________ Всякий слышит лишь то, что понимает.
	Ответить 0