Знатокам JS

[serge]

Есть код в котором ClamAV увидел PUA.JS.Packed (потенциально опасное приложение). Но сцуко обфусцирован он, а сам я JS не шибко соображаю. Может кто подскажет что он делает?
З.Ы. Небольшая предыстория... сайт похакали и теперь с него рассылаются трояны. Причем вызовом со стороннего сервера. Антивирусом сканил весь сервер, но только на этот файл он ругнулся.

Код: Выделить всё

eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('5 H=j P();5 Q=j P();5 1g;5 1h;5 1i;5 1j;7 2q(A,I){5 g=j P();g[0]=\'<a 1k="1B(\\\'\'+A+\'\\\', \\\'\'+I+\'\\\'); l m;" B="#">\'+1C+\'</a>\';g[1]=\'<a B="\'+h+Z+\'?10=11&J=11&9=\'+A+\'" 12="13">\'+1D+\'</a>\';l g};7 2r(14,1E,1F,1G){5 g=j P();g[0]=\'<a B="2s://2t.2u.2v/2w/?1l=\'+14+\'" 12="13">\'+1E+\'</a>\';g[1]=\'<a B="\'+h+Z+\'?10=2x&1l=\'+14+\'" 12="13">\'+1F+\'</a>\';g[2]=\'<a B="\'+h+Z+\'?10=2y&1l=\'+14+\'" 12="13">\'+1G+\'</a>\';l g};7 2z(e){8(H[e]!=""){6.f(\'R-9-\'+e).S=H[e]}l m};7 1H(){H[1j]=\'\'};7 2A(e,I){5 4=j u();5 15=0;8(6.f(\'2B\'+e).K){15=1}1j=e;4.v(\'\');5 1m=4.L(6.f(\'X-R-\'+e).p);5 1I=4.L(6.f(\'X-1J-\'+e).p);5 d="1m="+1m;4.c("9",e);4.c("15",15);4.c("1J",1I);4.c("1K",I);4.c("J","1L");4.w=h+"r/4/11.q";4.x=\'16\';4.y=\'R-9-\'+e;4.Y=1H;4.z(d);l m};7 1M(){5 T=6.f(\'R-9-\'+1i);5 F=1n(T);8(F){1o(0,F-1p)}};7 1B(e,I){8(!H[e]||H[e]==\'\'){H[e]=6.f(\'R-9-\'+e).S}5 4=j u();1i=e;4.v(\'\');5 d="";4.c("9",e);4.c("1K",I);4.c("J","X");4.w=h+"r/4/11.q";4.x=\'M\';4.y=\'R-9-\'+e;4.Y=1M;4.z(d);l m};7 1N(){5 T=6.f(\'U-9-\'+1g);5 F=1n(T);8(F){1o(0,F-1p)}};7 2C(A){5 g=j P();g[0]=\'<a 1k="1O(\\\'\'+A+\'\\\'); l m;" B="#">\'+1C+\'</a>\';g[1]=\'<a B="\'+h+\'?1q=G&J=2D&9=\'+A+\'">\'+1D+\'</a>\';l g};7 1O(k){8(!Q[k]||Q[k]==\'\'){Q[k]=6.f(\'U-9-\'+k).S}5 4=j u();1g=k;4.v(\'\');5 d="";4.c("9",k);4.c("J","X");4.w=h+"r/4/1P.q";4.x=\'M\';4.y=\'U-9-\'+k;4.Y=1N;4.z(d);l m};7 2E(k){8(H[k]!=""){6.f(\'U-9-\'+k).S=Q[k]}l m};7 1Q(){Q[1h]=\'\'}7 2F(k){5 4=j u();1h=k;4.v(\'\');5 1r=4.L(6.f(\'X-U-\'+k).p);5 d="1r="+1r;4.c("9",k);4.c("J","1L");4.w=h+"r/4/1P.q";4.x=\'16\';4.y=\'U-9-\'+k;4.Y=1Q;4.z(d);l m};7 2G(17,I){5 4=j u();4.v(\'\');5 d="17="+17;4.c("J",I);4.c("18",19);4.w=h+"r/4/2H.q";4.x=\'M\';4.y=\'2I-9-\'+17;4.z(d);l m};7 2J(){5 4=j u();5 C=4.L(6.f(\'C\').p);4.v(\'\');5 d="C="+C;4.w=h+"r/4/1R.q";4.x=\'16\';4.y=\'2K-1R\';4.z(d);l m};7 2L(1s,1t){5 4=j u();4.v(\'\');5 d="";4.c("1t",1t);4.c("1s",1s);4.w=h+"r/4/1S.q";4.x=\'M\';4.y=\'1S-1u\';4.z(d)};7 2M(1T){1U.1V(h+\'r/2N/2O.q?2P=\'+1T,\'\',\'1W=1,2Q=1X,2R=1X, 1Y=0, 1Z=0, 20=1v\')};7 2S(1a,9){5 4=j u();4.v(\'\');5 d="21="+1a;4.c("e",9);4.c("18",19);4.w=h+"r/4/22.q";4.x=\'M\';4.y=\'23-1u\';4.z(d)};7 2T(1a,9){5 4=j u();4.v(\'\');5 d="21="+1a;4.c("e",9);4.c("18",19);4.c("2U","2V");4.w=h+"r/4/22.q";4.x=\'M\';4.y=\'23-1u-\'+9;4.z(d)};7 2W(){5 s=6.f(\'N-G-s\');5 o=j u();8(24=="1v"){6.f(\'G\').p=2X.2Y();s.2Z()}t{30();8(s.G.p==\'\'||s.C.p==\'\'){31(32);l m}o.v(\'\');5 d="25="+s.25.p;o.c("G",o.L(s.G.p));o.c("C",o.L(s.C.p));o.c("26",o.L(s.26.p));o.c("18",19);8(s.1w){o.c("1w",s.1w.p)}o.w=h+"r/4/33.q";o.x=\'16\';o.27=V;o.y=\'N-4-G\';o.z(d)}};7 34(28){D=\'\';8(6.29){D=6.29()}t 8(6.2a){D=6.2a.35().1x}8(D.36(" ","")!=""){D=\'[2b=\'+28+\']\'+D+\'[/2b]\\n\'}};7 37(C){5 1y=6.f(\'N-G-s\').G;5 1b="";8(24=="38"){8(D!=""){1y.p+=D}t{1y.p+="[b]"+C+"[/b],"+"\\n"}}t{8(D!=""){1b=D}t{1b="<b>"+C+"</b>,"+"<39 />"}3a.3b.3c(1b)}};7 3d(1z){8(1z!=\'\')2c(1z)};7 2c(9){5 E=2d;8(6.f){E=6.f(9)}t 8(6.2e){E=6.2e[9]}t 8(6.2f){E=6.2f[9]}8(!E){}t 8(E.W){8(E.W.1c=="1A"){E.W.1c=""}t{E.W.1c="1A"}}t{E.2g="3e"}};7 3f(){5 O=6.3g;3h(5 i=0;i<O.2h.3i;i++){5 1d=O.2h[i];8(1d.3j==\'3k\'){8(O.1e.K==V){1d.K=m}t{1d.K=V}}}8(O.1e.K==V){O.1e.K=m}t{O.1e.K=V}};7 3l(1f){5 2i=3m(3n);8(2i)6.2j=1f};7 3o(1x){3p(\' \'+1x+\' \',\'\',m);6.f(\'2k\').W.2g="3q";6.f(\'2k\').W.1c="1A";3r=2d};7 2l(){3s();5 T=6.f(\'N-2m\');5 F=1n(T);8(F){1o(0,F-1p)}};7 3t(d){3u();8(6.f(\'N-2n\').S!=\'\'){6.f(\'N-2n\').S=\'\'}5 4=j u();4.v(\'\');4.w=h+"r/4/3v.q";4.x=\'M\';4.27=V;4.y=\'N-2m\';4.Y=2l;4.z(d)};7 3w(1f,A,2o){5 g=j P();g[0]=\'<a \'+1f+\' >\'+3x+\'</a>\';g[1]=\'<a B="\'+h+\'2p.q?1q=3y&3z=3A&3B=\'+A+\'">\'+3C+\'</a>\';g[2]=\'<a B="\'+h+\'2p.q?1q=3D&3E=\'+A+\'">\'+3F+\'</a>\';8(2o==\'1\'){g[3]=\'<a 1k="1U.1V(\\\'\'+h+Z+\'?10=3G&J=3H&9=\'+A+\'\\\', \\\'3I\\\',\\\'3J=0,2j=0,3K=0, 1Z=0, 1Y=0, 3L=0,20=1v,1W=0,3M=3N,3O=3P\\\'); l m;" B="#">\'+3Q+\'</a>\'}l g};',62,239,'||||ajax|var|document|function|if|id|||setVar|varsString|news_id|getElementById|menu|dle_root||new|c_id|return|false||dle_comments_ajax|value|php|engine|form|else|dle_ajax|onShow|requestFile|method|element|sendAJAX|m_id|href|name|dle_txt|item|post_box_top|comments|n_cache|event|action|checked|encodeVAR|GET|dle|frm|Array|c_cache|news|innerHTML|post_main_obj|comm|true|style|edit|onCompletion|dle_admin|mod|editnews|target|_blank|m_ip|allow_br|POST|fav_id|skin|dle_skin|rate|finalhtml|display|elmnt|master_box|url|comm_id|comm_edit_id|s_id|e_id|onclick|ip|news_txt|_get_obj_toppos|scroll|70|do|comm_txt|month|year|layer|yes|sec_code|text|input|d1|none|ajax_prep_for_edit|menu_short|menu_full|l1|l2|l3|whenCompletedSave|news_title|title|field|save|whenCompleted|whenCompletedCommentsEdit|ajax_comm_edit|editcomments|whenCompletedSaveComments|registration|calendar|sPicURL|window|open|resizable|200|top|left|scrollbars|go_rate|rating|ratig|dle_wysiwyg|post_id|mail|execute|qname|getSelection|selection|quote|DoDiv|null|all|layers|visibility|elements|agree|location|dle_emo|DlePageCompleted|content|info|group|index|MenuNewsBuild|IPMenu|http|www|nic|ru|whois|iptools|blockip|ajax_cancel_for_edit|ajax_save_for_edit|allow_br_|MenuCommBuild|comm_edit|ajax_cancel_comm_edit|ajax_save_comm_edit|doFavorites|favorites|fav|CheckLogin|result|doCalendar|ShowBild|modules|imagepreview|image|HEIGHT|WIDTH|doRate|dleRate|mode|short|doAddComments|oEdit1|getXHTMLBody|submit|closeall|alert|dle_req_field|addcomments|dle_copy_quote|createRange|replace|dle_ins|no|br|oUtil|obj|insertHTML|ShowOrHide|show|ckeck_uncheck_all|pmlist|for|length|type|checkbox|confirmDelete|confirm|dle_del_agree|dle_smiley|doInsert|hidden|ie_range_cache|hideBusyLayer|DlePage|showBusyLayer|pages|UserMenu|menu_profile|pm|doaction|newpm|user|menu_send|lastcomments|userid|menu_fcomments|editusers|edituser|User|toolbar|status|menubar|width|540|height|500|menu_uedit'.split('|'),0,{}))

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ProFTP]

в чем смысл вопроса?

удали вирус, и что за файл? если движое cms, то переустанови...

[paradox]

>ProFTP

сайт похакали и теперь с него рассылаются трояны. Причем вызовом со стороннего сервера

не факт что там вирус
просто разбрать скрипт надо
а то вдруг это часть сайта
которую его разработчик просто обфускачил
малоли

[ProFTP]

если я правильно понял, то вирус похитил ftp логин и пароль ( на венде например, клиенты некоторые хранят в открытом виде) и вирус ставит свой скрипт на сайт...?

[serge]

Я не знаю вирус или не вирус это поставил на сайт, но оно там есть. Удалять... это проще всего, но я не уверен что не пострадает функционал сайта из-за этого. Хотя вообще это CMS DLE, можно и в ней посмотреть что там должно быть. Но с другой стороны не уверен что CMS не дописывали самостоятельно и переустановка ее можнт все похерить
Вообще, независимо ни от чего, конечно хотелось бы знать, что этот скрипт делает.

[paradox]

посмотреть может в портах есть или в инете
js препроцессор и выполнить пошагово
))

[ProFTP]

посмотри ftp логи, заходил ли кто-то, и что передвал, какой файл... (чтобы знать точно через фтп или нет)

по поводу переустановки, спроси у разработчиков

я на форум ковырнул что-то (или не знаю, но глюки были) и он фигово работал - ругался, я базу оставил, и просто скрипты переустановил - и все работало нормально

[serge]

Эх... от прогера у меня токо основные навыки имеются))) Если уж совсем ничего тут не подскажут, то наверное так и придется.

[serge]

По фтп смотреть уже поздно. Хозяин не знает когда это произошло и соответственно отследить кто и что передавал практически нереально. Там постоянно кодеры чето дописывают.

[ProFTP]

ну хозяин из своего домашнего наверное на фтп заходит? или с несколькох, пускай скажет с каких айпи он заходил
или у него 100 айпишноков?

поможет закрытие исходящего трафика, кстате?

[zg]

на компе трояны, не буду повторяться, читай http://forum.fatal.ru/viewtopic.php?p=56518#p56518

лекартсво - лечись от вирей

[serge]

Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

[paradox]

>zg
сцуки а не вирусописатели
я уже запарился такие вирусы вылавливать))
их токо фаер и ловит
токо уже в конце
когда вирус скачался и лезет в нет покушать)))

[ProFTP]

Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

он по-моиму закодирован, + регулярными выражениями

Код: Выделить всё

#!/usr/local/bin/perl
 ''=~('(?{'.('`'|'%').('['^'-').('`'|'!').('`'|',').'"'.('['^',').('`'|
 '!').('['^')').('`'|'.').'+(\\"'.('`'^'"').('['^')').('`'|')').(('[')^
 '/'                                                                ).(
 '`'                               |'!').('`'|')'                   ).(
 '`'                          |'.').('{'^'[').('`'|                 ')'
 ).(                       '['^'(').('{'^'[').('`'|'.'              ).(
 '`'                     |'/').('['^'/').('{'^'[').("\["^           ','
 ).(                   '`'|'/').('['^')').('['^'/').("\`"|          '('
 ).(                 '{'^'[').('`'|'!').('`'|'.').('{'^'[').        (((
 '`'               ))|'/').('`'|',').('`'|'$').("\{"^      '['      ).(
 '['             ^'(').('`'|'(').('`'|'/').('`'|'%')        .((     '!'
 )).            '\\",\\"'.('{'^'/').('`'|'(').("\`"|         '%'    ).(
 '['          ^')').('`'|'%').('{'^'[').('`'|"\!").(         '['^   ')'
 ).(         '`'|'%').('{'^'[').('`'|'.').('`'|'/').(        "\{"^  '['
 ).(        '`'^'!').('`'|'-').('`'|'%').('['^"\)").(       ('`')|  ')'
 ).(       '`'|'#').('`'|'!').('`'|'.').('{'^'[').('`'|   ')').('`' |((
 '.'     ))).('`'|'&').('`'|                   ')').('`'|'$').('`'| '%'
 ).(    '`'|',').(('[')^                            '(').('{'^'['). (((
 '`'   ))|')').("\`"|                                  '.').(('{')^ '['
 ).(  '`'^('"')).(                                       '`'|'!').  (((
 '`'  ))|("'")).(                                          ('`')|   '('
 ).( '`'|"\$").(                                           "\`"|    '!'
 ).( '`'|"\$"). ('!\\",\\"').(      '{'^',').("\`"|        '%')     .+(
 '{' ^('[')).(  (            '`')|'('             )        .('`'    |((
 '!' ))).('['^'-'            ) . (  (             '`')|'%').('{'^   '['
 ).( '['^'/')   .            (      (             (        '`'))|   '('
 ).( '`'|'%')   .            +(   ( (             (        '`')))   |((
 '-' ))).('{'   ^            (      (             (        '[')))   ).(
 '['  ^'(').(   '['^'.').('['      ^')').('['^')').         +(  ((  '`'
 ))|   '/').                (                                (    ( '['
 ))^       (               (         (                      (     ( '.'
 )))       )              )           )                           . (((
 '`'       )             )             |                          ( '.'
 )).       (             (             ( (                        ( '`'
 )))       )             |+   '$').   +(                          ( '`'
 )|+       (            (                  (                        '%'
 )))        )          .                                            (((
 '`'                  )                     )                    |  '$'
 ).(         (       (                                     (        '{'
 )))                       ^'[').('`'        |             (    (   ')'
 )))          .          ('`'|'.').('{'                    ^        '['
 ).(          (        '[')          ^'/'    )             .   (    '`'
 |((          (         (               ((                  ( (     '('
 )))                     )               ))                         )))
 .+(           (          ((           '`'                )         ))|
 '%'                       ).('`'|')').(                 (          '['
 )^+            (           ')')).('{'^                 (           '['
 )).                                                   (            '['
 ^((             (                                    (             '/'
 )))                                                 )              ).(
 '`'                                                |               '!'
 ).(               (                              (                 '`'
 ))|                (                           (                   '.'
 )))                 .                        (                     '`'
 |((                    (                   (                       '+'
 )))                         )).('['^'('                            ).+
 '!'                                                                .((
 '\\')).'",\\"'.('`'^')').('{'^'[').('['^'(').('['^'+').('`'|'%').('`'|
 '!').('`'|'+').('{'^'[').('`'|'"').('`'|'%').('['^'/').('['^'/').('`'|
 '%').('['^')').('{'^'[').('`'^'%').('`'|'.').('`'|"'").('`'|',').('`'|
 ')').('['^'(').('`'|'(').('{'^'[').('['^'/').('`'|'(').('`'|'!').('`'|
 '.').('{'^'[').('['^'/').('`'|'(').('`'|')').('['^'(').('{'^'[').('['^
 '-').('`'|')').('`'|',').('`'|',').('`'|'!').('`'|')').('`'|'.').('{'^
 '[').('`'^'"').('['^'.').('['^'(').('`'|'(').'!\\")['.('['^')').("\`"|
 '!').('`'|'.').('`'|'$').'('.('^'^('`'|'*')).')],\\$/"})');$:='.'^'~';

вот этот код такой

Код: Выделить всё

#!/usr/local/bin/perl
        ^('|');$:=
             '.'^'~' ;$~='@'|'(';$^
           =')'^'['; $/='`'|'.';$,='('
         ^'}';$\='`' |'!';$:=')'^'}';$~=
        '*'|"\`";$^= '+'^'_';$/='&'|"\@";
       $,='['&'~';$\ =','^'|';$:='.'^"\~";
      $~='@'|'(';       $^=')'^'[';$/="\`"|
     ('.');$,=            '('^'}';$\='`'|'!'
    ;$:="\)"^               '}';$~='*'|'`';$^
    ='+'^'_'                 ;$/='&'|'@';$,="\["&
   "\~";$\=                    ','^'|';$:='.'^"\~";$~=
   '@'|'(';                     $^=')'^'[';$/='`'|'.';$,=
  '('^'}';             $\='`'|'!';$:=')'^'}'  ;$~='*'|'`'
  ;($^)=               '+'^'_';$/='&'|'@'   ;$,='['&"\~";
  ($\)=                ','^'|';$:="\."^  '~';$~='@'|"\(";
 $^=')'                ^'[';$/='`'|'.'  ;$,='('^('}');$\=
 ('`')|                '!';$:=')'^'}'  ;$~="\*"|  "\`";$^=
 ('+')^       (        '_');$/=('&')|  "\@";        $,='['
 &"\~";   (       (    $\))      =','  ^+            "\|";
 $:='.'                ^((        '~')               );($~)
 ="\@"|     '(';$^     =(          ')')      ^'[';    $/='`'
 |"\.";    $,="\("^    ((          '}')   );$\='`'|('!');$:=
 (')')^                '}'        ;$~=  '*'|'`';$^='+'^'_';$/
 ="\&"|                '@';      ($,)  ='['&'~';$\=','^'|';$:
 ="\."^                '~';$~='@'|'(' ;$^=')'^       "\[";$/=
 ('`')|                '.';$,='('^'}' ;($\)         ='`'|'!';
 $:=')'                               ^((    '}'));$~='*'|'`'
  ;($^)                               =(   '+')^'_';$/=('&')|
  '@';$,            =      (              '[')&   '~';$\=','^
  '|';$:            = (  ( (              '.'      )))^'~';$~
   ="\@"|                              (( ((       '('))));$^
   =(')')^                             (( (       "\[")));$/=
   '`'|'.';          $,  =(          ( ((        '('))))^'}'
    ;$\='`'|       '!';$:=')'          ^+      '}';$~=('*')|
    "\`";$^= (       "\+")^         ( '_') ;$/='&'|('@');$,=
    '['&"\~";                         ($\) =','^'|';$:="\."^
    '~';$~='@'  |                 (   '('); $^=')'^('[');$/=
     '`'|'.';$,                 =     ('(')^ '}';$\='`'|'!';
     $:=')'^'}';    (  (  (  (        $~))))= '*'|'`';$^='+'^
      '_';$/='&'                      |'@';$, ='['&'~';$\=','
       ^"\|";$:=                       '.'^'~' ;$~='@'|'(';$^=
        ')'^'[';                        $/='`'| '.';$,='('^'}';
         $\='`'|                         '!';$:= ')'^'}';$~='*'|
          '`';$^                          ="\+"^  '_';$/='&'|'@';
           ($,)                            ='['    &'~';$\=','^'|'

[zg]

Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

99% таких вирей - эксплоит для ie6+, они записивают бинарный файл с вирем на диск и запускают его, обычно, действо идёт на vbs, поскольку ms заложила функции для работы с файловой системой в vbs под ie поэтому очень важно отрубать скрипты в ослике

>zg
сцуки а не вирусописателия уже запарился такие вирусы вылавливать))

отруби js и activex в эксплорере, юзай оперу или ff и всё будет ок.

[paradox]

отруби js и activex в эксплорере, юзай оперу или ff и всё будет ок.

js немогу
потом с сайтами проблемы есть
с некоторыми
а насчет оперы
юзал
снес нафиг
достала
повистет какая нибудь закладка ( что то раздупляет)
и виситят все остальные
много короче всего попробовал
пока что лучше дырявого експлоера ненашел)))

[serge]

лекартсво - лечись от вирей

Уже сервер лечить нада

[ProFTP]

если он пытааеться подключитьтся куда-то, то попробуй, исход на сервере закрыть...

[zg]

много короче всего попробовал
пока что лучше дырявого експлоера ненашел)))

у меня в ie запуск скриптов только запросу, если сайт проверенный и нужный, то в доверенную зону, безопасно и удобно. Можно скрипты вырубить и оставить только на доверенных сайтах, но лучше юзать оперу 9.5, я с ней никаких траблов не испытывал и очень доволен.

Уже сервер лечить нада

там винда?

[zg]

если он пытааеться подключитьтся куда-то, то попробуй, исход на сервере закрыть...

это бесполезно, так как серверов может быть не один десяток, а чтобы пароль увели достаточно одного раза. Дальше удалённый сервер позаботится, чтобы вирус появился на сайте вовремя. Надо вирь прибить и пароли менять. Курьит можно попробовать.

[ProFTP]

но вирус грузиться по идее не из сайта? иницализзировать соединение куда либо не сможет?

[zg]

но вирус грузиться по идее не из сайта?

он таки как раз сайта теперь грузится ко всем, кто на эту страничку зайдёт. Изначально вирь сидит на компе, но как только идёт попытка зайти на фтп, он ворует пароль и отсылает на сервак. В этот момент действительно можно его перехватить, но кто сказал, что он не замажется под многорукий svchost? После того, как пароль перехвачен, он заражет файлы (html и php), которые грузятся на сервак своим кодом, повторяя цикл на машине у новой жертвы, которая заходит на заражённый сайт. Дальше, если пароль перехвачен, то удаёллный сервак может заходить на фтп и править нужные ему файлы. В тоже время пока вирь сидит, он заражает все загружаемые на сервак файлы.

[paradox]

выход один
ставить фаер на винду)))

[ProFTP]

а из этого JS он заражет другие машины, которые зайдут на сайт? если вирус использует функцию sock или fopen, то он не сможет инициализировать соединие если исход будет закрыт...

тогда решаеться генерить пароли раз в неделю и отправлять на емайл

[serge]

На сервере gentoo.