Šodien iebridu kaut kādā lapā Blogosphere News, kad pēkšņi manā priekšā izleca šāds brīnums.
Nepaspēju i ne acis pamirkšķināt, ka jau kāds trojāns nogalināts. Automātā uzmetu acis pēdējiem atvērtiem tabiem un pamēģināju pārlādēt pēdējās lapas. Rezultātā atkal izleca tas pats paziņojums.
Papētīju sīkāk to lapu, bet neko aizdomīgu neatradu, ja neskaita šos nesaprotamos simbolus.
Bet tas trojāns ir novērojams tikai detalizētajā skatā. Piemēram, šajā rakstā par WordPress tēmu. Uzmanību, tur var būt vīruss! Bet var arī nebūt. 🙂
Spriežot pēc šī apraksta, tas nav bīstams vīruss.
JS.Wonka is a generic detection of web pages or e-mail messages that contain a certain functionality for encrypting scripts that may have malicious intent. This does not necessarily mean that a virus has been found. It merely means that HTML code was found which attempts to activate additional executable code without the user’s express permission.
Īpašu uzmanību būtu jāpievērš šai daļai.
Note: this detection may be triggered by merely visiting a web page that contains malicious code. It does not necessarily mean your machine has been compromised.
Tāpēc es tik droši te plātos. 🙂
A man ir Linux un nekādi paziņojumi nelec laikam, tāpēc, ka naf antivīrusa. xD
A man Safari pārlūks izmet brīdinājumu par “sliktu” lapu. =)
tiko iztīriju kompi no trojāņiem….uzradās vēl viens….es tur neiešu kur viņu var dabūt…es labāk aiziešu citur….kaut kā atkal negribas rakņāties par netu, lai atrastu kā to var izdēst…jo bieži vien jaunus vīrusus ANTIVIRUSņIKI vēl neatpazīst….
Nez ,man kaspers ieksh Blogosphere News nekaadus viirusus neatrod
Izskatās pēc McAfee, tas bieži bļaustās nevietā…
Da ja paskatās tās lapas sourci, tad pašās beigās ir JavaScript, kurš rezultējas ifreimos, kuri norāda uz *.fake.hu lapām. Nemaz nemēģināju tās vērt vaļā, jo dubulta unescape() un String.fromCharCode lietošana vien jau norāda uz hostējamo saturu. Ņemot vērā, ka FF bija atslēgta JS izpilde, paliek atklāts jautājums kā tas JS kods bija nonācis tajā Blogosphere lapā, jo tas nevarēja tur nonākt lapas ielādes laikā (t.i. klienta pusē) – paliek tik servera puse…
Tas tik nozīmē to, ka tas Blogosphere News ir pwned.
Reku JS dekoderis:
http://scriptasylum.com/tutorials/encdec/encode-decode.html
Patiesībā šis bija viens no gadījumiem, kad pašā lapā ir ievietots slikts kods. Šādas lapas arī Latvijā ir atrodamas.
Es tikai nevaru saprast kā viņas pwno.
Nu agrāk skaļi defeisoja, tagad pa kluso ieliek kādu kodiņu. G2G (Pligg vuln).
Kaut gan pēc tās lapas spriežot, tik pat labi paši ielika to kodu.
Vienīgi, paši diez vai liktu aiz taga.
Izgrieza tagu. Tags bija domāts šis: http://www.w3schools.com/tags/tag_html.asp
Tici kakafam un būs vīrusi arī tavā kasešu pleijerā….