Несколько минут назад мой пароль от ICQ был взломан, от моего имени было написано: «Посмотрите, что не так с вашей системой, я постоянно получаю от вас вирусы.
Вот сканируйте комп, все быстро заживает inetguards.com и там вы можете быть уверены, что ваш аккаунт невозможно взломать».
Я прошёл по ссылке и посмотрел источник
Да, скрипт расшифровывает что-нибудь
Видимо, ему этого недостаточно и он все-таки расшифровывает: '/'+hex_md5('b2eb45d8838702e4f8483cb70a6d2f81')
Который после выполнения должен привести нас к inetguards.com/f4e50176f7b4297adb3776ed25706ac8 .
Зашёл туда и получил ту же страницу.
Обновил - заблокировалось по IP, сайт не отвечает на запросы.
Расследование продолжается кто говорит, что домен зарегистрирован на Андрея Лученко.
Кстати, ip для домена уже изменился и стал: 78.140.152.146 (есть предположение, что он еще работает).
Последние новости:
Будем искать другие методы.
Пока расшифровываю время сеанса на сайте заканчивается, времени нет. Поставлю сниффер и рискну!
Еще более свежие новости:
Если перейти по ссылке в браузере, сервер выдает ошибку 403. Что ж, давайте посмотрим, что он делает.Первый
hstr — строка, сгенерированная сервером.
Расшифровывается так: for(i = 0;i < 358;i++)document.write(String.fromCharCode(hstr.charCodeAt(i) + 1));
Мы берем ascii-код каждого символа, добавляем его и преобразуем обратно в символ.
Второй
В результате в документ был добавлен новый скрипт. Что там? Конечно, новая расшифровка.На этот раз всё проще, просто urlencode. Мы убегаем и получаем.
Третий
Получаем еще один скрипт, который вычисляет md5 из какой-то строки ( например, так: hex_md5('b2eb45d8838702e4f8483cb70a6d2f81') И мы добавляем его через косую черту к нашему текущему URL-адресу.Что нас будет ждать на том конце - не знаю, если кто-то из вас наконец дошёл - обязательно напишите, буду очень благодарен.
Мое предположение: сервер генерирует пару ключей, один в зашифрованном виде (сначала urlencode + javascript, затем вычитается из charcode + javascript) и передает его клиенту.
Он довольно быстро его расшифровывает, генерирует md5-хеш и переходит по ссылке.
Я не знаю, что там.
Ну последние новости
Добралась до сайта.Название: Белый ПК, защити свой компьютер.
В центре: Flash, изображающий проверку на вирусы.
Зайдя внутрь, получаем возможность вывести людей.
соглашения.
После лицензионного соглашения предложение отправить СМС на номер: 3858 (Стоимость на сайте 2 рубля, стоимость в реальности 300-360 руб)
Подробности Whois:
Административный контакт: Луценко Андрей Электронная почта: [email protected] Организация: Частное лицо Адрес: ул.Профсоюзная, д. 22, кв.
340
Город: Москва
Государство: Московская область
Почтовый индекс: 345768
Страна: RU
Телефон: +7.4345234567
Факс: +7.4934524567
И наконец
Я отправил электронное письмо в компанию, которая зарегистрировала этот номер.Как только получу ответ, сразу опубликую.
Всем огромное спасибо за терпение, я пойду спать.
Теги: #icq #взлом #JavaScript #уязвимость #информационная безопасность
-
Зеллигер, Гюго
19 Oct, 24 -
Нереальные Предложения От Яндекса
19 Oct, 24 -
Электронная Свалка
19 Oct, 24 -
Google Начинает Тестирование Аудиорекламы
19 Oct, 24
