Несколько минут назад был взломан мой пароль ICQ, написано от моего имени:«Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. на вот просканируй компьютер, все лечит быстро inetguards.com и там же можно сделать, чтоб аккаунт не могли взломать».
Прошел по ссылке, посмотрел исходник
Ага, скрипт расшифровывает что-то
Видимо, ему и этого мало и он еще расшифровывает:
Что после выполнения должно перевести нас на inetguards.com/f4e50176f7b4297adb3776ed25706ac8.
Зашел туда — получил такую же страницу… Обновил — блок по IP, сайт не отвечает на запросы.
Расследование продолжается
whois говорит, что домен зарегистрирован на Андрея Лученко.
Кстати, ip для домена уже сменился, а был: 78.140.152.146 (есть предположение, что он и сейчас рабочий).
Будем искать другие методы. Пока я расшифровываю время сессии на сайте истекает, не успеваем… Поставлю сниффер и рискну!
Если пройти по ссылке браузером — сервер выдает ошибку 403…
Ну что ж, рассмотрим по порядку, что же он делает.
hstr — это строка, которую генерирует сервер.
Расшифровывается так:
Берем ascii код каждого символа, добавляем единицу и снова переводим в символ.
Получился новый скрипт, который дописался в документ.
Что же там? Конечно же новая расшифровка. На этот раз все проще, просто urlencode. Делаем unescape и получаем…
Получаем еще один скрипт, который считает md5 от какой-то строки
(например, вот так:hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')
И добавляем его через слэш к нашему текущему url'у.
Что будет ждать нас на том конце — я не знаю, если кто-то из вас добрался все-таки до конца — напишите обязательно, буду очень признателен.
Мое предположение: сервер генерирует пару ключей, одну в зашифрованном виде (сначала urlencode+javascript, потом вычитание из charcode + javascript) передает клиенту. Тот довольно быстро расшифровывает, генерирует md5 хэш и переходит по ссылке. Что находится там — мне неизвестно…
Попал на сайт.
Заголовок: White PC, защити свой компьютер.
По центру: Флэш, изображает проверку на вирусы. Покликав внутри получаем выводи лиц. соглашения.
После лицензионного соглашения предложение отправить смс на номер: 3858 (Стоимость на сайте 2 рубля, стоимость в реальности 300-360 рублей)
Administrative Contact:
Lucenko Andrey
Email: phonecontroller@bk.ru
Organization: Private person
Address: ul. Profsouznaya, 22, kv.340
City: Moscow
State: Moscow obl.
ZIP: 345768
Country: RU
Phone: +7.4345234567
Fax: +7.4934524567
Отправил письмо компании, зарегистрировавшей этот номер.
Как только получу ответ — сразу опубликую.
Спасибо всем огромное за терпение, ложусь спать.
Прошел по ссылке, посмотрел исходник
Ага, скрипт расшифровывает что-то
Видимо, ему и этого мало и он еще расшифровывает:
'/'+hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')Что после выполнения должно перевести нас на inetguards.com/f4e50176f7b4297adb3776ed25706ac8.
Зашел туда — получил такую же страницу… Обновил — блок по IP, сайт не отвечает на запросы.
Расследование продолжается
whois говорит, что домен зарегистрирован на Андрея Лученко.
Кстати, ip для домена уже сменился, а был: 78.140.152.146 (есть предположение, что он и сейчас рабочий).
Свежие новости:
Будем искать другие методы. Пока я расшифровываю время сессии на сайте истекает, не успеваем… Поставлю сниффер и рискну!
Еще более свежие новости:
Если пройти по ссылке браузером — сервер выдает ошибку 403…
Ну что ж, рассмотрим по порядку, что же он делает.
Первое
hstr — это строка, которую генерирует сервер.
Расшифровывается так:
for(i = 0;i < 358;i++)document.write(String.fromCharCode(hstr.charCodeAt(i) + 1));Берем ascii код каждого символа, добавляем единицу и снова переводим в символ.
Второе
Получился новый скрипт, который дописался в документ.
Что же там? Конечно же новая расшифровка. На этот раз все проще, просто urlencode. Делаем unescape и получаем…
Третье
Получаем еще один скрипт, который считает md5 от какой-то строки
(например, вот так:hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')
И добавляем его через слэш к нашему текущему url'у.
Что будет ждать нас на том конце — я не знаю, если кто-то из вас добрался все-таки до конца — напишите обязательно, буду очень признателен.
Мое предположение: сервер генерирует пару ключей, одну в зашифрованном виде (сначала urlencode+javascript, потом вычитание из charcode + javascript) передает клиенту. Тот довольно быстро расшифровывает, генерирует md5 хэш и переходит по ссылке. Что находится там — мне неизвестно…
Ну самые последние новости
Попал на сайт.
Заголовок: White PC, защити свой компьютер.
По центру: Флэш, изображает проверку на вирусы. Покликав внутри получаем выводи лиц. соглашения.
После лицензионного соглашения предложение отправить смс на номер: 3858 (Стоимость на сайте 2 рубля, стоимость в реальности 300-360 рублей)
Данные whois:
Administrative Contact:
Lucenko Andrey
Email: phonecontroller@bk.ru
Organization: Private person
Address: ul. Profsouznaya, 22, kv.340
City: Moscow
State: Moscow obl.
ZIP: 345768
Country: RU
Phone: +7.4345234567
Fax: +7.4934524567
И, напоследок
Отправил письмо компании, зарегистрировавшей этот номер.
Как только получу ответ — сразу опубликую.
Спасибо всем огромное за терпение, ложусь спать.
