Задать вопрос

Хитрый фишинг

В популярные страницы (например vk.com, fb.com) встраивается javascript (в конец кода) и отрисовывает поверх контента самой страницы фрейм, в котором предлагает получить смс и ввести код. Адрес, с которого берётся этот скрипт: htntrailzip.com
После того, как внёс имя этого сайта в hosts и присвоил ему 127.0.0.1 перестали грузиться почти все страницы.
Вопрос: где находится та гадость, которая встраивает в конец страницы этот скрипт?
Как это лечить?
  • Вопрос задан
  • 12952 просмотра
Подписаться 10 Оценить Комментировать
Решения вопроса 1
ZUZ
@ZUZ
Предлагаю просто прогнать combofix — 95% что он его прибъёт и/или воспользоваться avz
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@vilgeforce
Раздолбай и программист
Можете полный код страницы с отсылкой на htntrailzip.com прислать? Очень нужно с живой машины.
Зараза сидит в appinit_dlls, библиотека со случайным именем, или 105.tmp в некоторых случаях.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы