Перейти к содержимому


Фото
- - - - -

Exploit.JS.166 IE11 vs. FF90.0.2


  • Please log in to reply
5 ответов в этой теме

#1 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 001 Сообщений:

Отправлено 23 Июль 2021 - 09:02

С обменника хотел скачать крошечный архив с текстурами для фотошоп, всего 70метров. Запустил через FF, На 10метрах обрыв. Ждать 120 минут.

Зачел через  IE и тут Exploit.JS.166 в гости и совсем бесплатно.

Спайдер его остановил как всегда! Получается, хозяева сайта распознают браузер и на IE дарят подарки, а FF их не интересует.

Вообще-то этот обменник признан Др.ВЕБом как сайт распространяющий вирусы, но я оттуда качал через FF несколько раз уже и не было проблем. После скачивания всегда проверяю архивы сканером.

 



#2 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 23 Июль 2021 - 21:51

1. Возможно ложное срабатывание.

2. Распознать браузер - очень простая задача, он сам делает всё возможное для того, чтобы его распознали. )) А дальше всё ограничено только фантазией хозяев сайта.

3. В любом случае, нужно смотреть, какие скрипты/данные прилетают с той стороны.



#3 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 001 Сообщений:

Отправлено 24 Июль 2021 - 00:08

1. Возможно ложное срабатывание.

2. Распознать браузер - очень простая задача, он сам делает всё возможное для того, чтобы его распознали. )) А дальше всё ограничено только фантазией хозяев сайта.

3. В любом случае, нужно смотреть, какие скрипты/данные прилетают с той стороны.

Не думаю, что это ложное срабатываение. Сайт заблокирован Др,ВЕБом, а я его добавил в исключение.

Насчет какой браузер и операционная система, тут не вопрос, PHP скриптом это просто, вопрос в другом. Получается FF имеет более высокую защиту и не пытаются туда подсунуть заразу? Не может же быть, чтобы под FF загружался эксплоит и был незаметен для спайдера?

С той стороны прилетает исполняемый файл

Первые символы 4D 5A 90 00

Думаю, что подробней, здесь нельзя правилами форума.

С подобной системой внедрения вируса я сталкивался, кто-то пытался зайти ко мне DNS/index.php?<hex-code>

Админ не нашел ничего лучше, как заблокировать доступ к продакш серверу с  IP из списка.

Удалил из исключения этот обменник.



#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 24 Июль 2021 - 03:23

Получается FF имеет более высокую защиту и не пытаются туда подсунуть заразу?
Возможно, скрипт написан с использованием IE-специфичных элементов, только и всего. И поэтому совать его FF бессмысленно, что и заставляет делать проверку браузера. Это лишь одна из версий.

#5 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 001 Сообщений:

Отправлено 24 Июль 2021 - 08:51

 

Получается FF имеет более высокую защиту и не пытаются туда подсунуть заразу?
Возможно, скрипт написан с использованием IE-специфичных элементов, только и всего. И поэтому совать его FF бессмысленно, что и заставляет делать проверку браузера. Это лишь одна из версий.

 

Версий может быть много, согласен, но 4D 5A 90 00 означает, исполняемый файл.

Как я понимаю, в названии JS означает джава скрипт, шифрованные скрипты теперь не редкость, но в начале они содержат чем шифровались, напр. @JSXBIN@ES@2.0

Главное, что Др.ВЕБ не пропустил эту заразу и я знаю откуда мог бы получить такой подарок.



#6 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 24 Июль 2021 - 18:16

Просто раздача частенько происходит рандомно - раз дала, раз не дала. И тут, как повезет.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых