Глюк или вирус?

[dok]

Когда я в командировках захожу на сайт с тел время от времени при первом входе перенаправляет на какойто сайт. Антивирус его блокирует. Сбрасываю захожу снова нормально. Полная проверка антивирусом результатов не дает.

Тел. Андроид. Антивирус ДрВеб

Так происходит только на карсе

[striker]

это всё wap-ресурсы билайна, а не форум. Осталось узнать, откуда это лезет, где или чем подмена делается? 

[Стасян]

это всё wap-ресурсы билайна, а не форум. Осталось узнать, откуда это лезет, где или чем подмена делается?

Всё может быть.

Вопрос только один, почему эта хрень вылазит только на КК? На других сайтах её нет.

[dok]

только что зашел с тел.

все хорошо

мтс

[yellow_rabbit]

 

 

все хорошо

случайность.

 

краткий анализ показал следующее.

 

1. запрос на загрузку данных присутствует в коде (чего и как вызывается описывал ранее, сейчас оно же).

2. вызывается в общем коде форума, т.е. не на какой то теме, а всегда

3. запрос идет с файла

http://www.carsclub.ru/forum/public/js/3rd_party/prototype.js

4. описание этого файла

/*  Prototype JavaScript framework, version 1.7.1
 *  (c) 2005-2010 Sam Stephenson

ну типа валидная js либа.

загуглил, да, типа валидная

5. код вызова левых данных в конце этого скрипта

6. можно убрать руками, найдя (и предварительно забекапясь) данные 

document["\x77\x72\x69\x74\x65"]("\x3C\x7

и до конца файла.

7. и самое главное.

судя по одинаковости кода, командор, а случаем никто форм не ломает?

либо со стороны дыр форума, либо через другой акк от хостера (ну или диверсант от госдепа)

[Raider]

судя по одинаковости кода, командор, а случаем никто форум не ломает?

либо со стороны дыр форума, либо через другой акк от хостера (ну или диверсант от госдепа)

на всякий случай потру личку...

[Design_Nick]

Код почистили сегодня. Просьба посмотреть и отписаться о наличии / отсутствии проблем.

[Raider]

Пока нормально.

[dok]

норм

[Vuru]

Ниче не изменилось

Как работало нормально, так и работает.

 

... Написано с android

[Design_Nick]

Не поверишь, у меня тоже 1 раз было предложение подписаться. На андроид и мегафон.

[Aland]

Дело давнее, но было. При загрузке сафари на открытой вкладке Карсклуба вылезла эта картинка.

[Design_Nick]

Давнее это когда? Меня волнует ситуация после моего сообщения о чистке.

[Aland]

Это 28 июля.

[Design_Nick]

@Aland, вот ты специально меня пугаешь? (((((((((((

 

Я когда написал что код вычистили?  Вчера а не 28/07

 

 

Код почистили сегодня. Просьба посмотреть и отписаться о наличии / отсутствии проблем.

[Aland]

Ну да. Неуместно я разместил пост. Прошу прощения.

[Design_Nick]

@Aland, да напугал слегка

[yellow_rabbit]

пришло письмо.

отправитель сбербанковский пользователь, теле письма даже какие то фио без телефона указаны.

но в хидерах указан ИП итальянского хоста.

мой сервер (пришло на корпоративный адрес, который точно в сбере не засвечен) пометил письмо как спам.

 

суть письма, что я денег должен и ссылочка.

по ссылке архив с файлом js

 

а вот теперь странности.

не очень надеясь на зрение, тем более читаю по хешам, думал обычный фишинг, когда часть адреса подменяется и в целом адрес похож, но по факту другой.

дык вот.

беру первую половину адреса, копирую в браузер

и (тадам!)

открывается сбер!!! ну понятно, что какая то левая страница, но это сбер!

переписываем протокол на https и получаем подтверждение сертификата.

 

ладно.

идем дальше.

кратко анализируем файл, на сколько позволяют знания, там обычная фигня с попытками зашифрования.

делается activeX объект и чего то там формируется (тут знания кончились).

 

идем на вирус тотал.

грузим.

- первая проверка была всего 4 часа назад

- только какой то левый антивирус узрел в этом угрозу.

 

гуглим по запросу присланной ссылочки.

гугл, в подсказках выдает похожие запросы, ну т.е. уже поиск по этой фигне идет, но в самих результатах поиска нифига, кроме самого сбера нет.

 

взломали сбер?

 

PS: как обычно, будьте бдительны, ББ все видит.

[Vuru]

 

 

беру первую половину адреса, копирую в браузер

а покажи весь?

[yellow_rabbit]

дальнейшие исследования.

где то я чего то пропускаю.

т.к. конечная ссылка идет с другого адреса

 

вот ссылка в письме

 

http://sberbank.ru/load/2016-11-01/196

 

 

а качается от сюда

 

http://konkurs.dobrovoblago.ru/wp-content/themes/Basic303/images/2016/01.11_raschet.zip

 

[yellow_rabbit]

еще дополнение.

нашел где пропускаю.

 

письмо не plain text

а обычный html

 

ну там разные отмазки про усталость и короткую неделю и т.д.

в общем, лоханулся.

 

ссылка сразу идет на левый адрес.

т.е. надо конечникам написать, что их ломанули.

[Vuru]

а качается от сюда

 

 

ага, с этого адреса сразу чота качать пытался

 

даже при таком раскладе

[YurDos]

Кому еще вирусняк переслать?

Ночью пришло на почту как документы по сделке..

[SMC]

Кому еще вирусняк переслать?

 

шалишь?

[YurDos]

Ну тут смотрю,парни их препарируют.

Вот и спросил

[yellow_rabbit]

тут под спойлером выложи.

ну или в личку.