המלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!
-
@המלאך
אז למה שחררו אותו?
נשמע מוזרעריכה: עכשיו אני רואה שהוא חסום.
@אברהם-גלסר הוא הורחק לשבוע, חזר היום והורחק שוב...
-
@אברהם-גלסר הוא הורחק לשבוע, חזר היום והורחק שוב...
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
-
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
@אברהם-גלסר כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
ועם מוניטין -3. מוכשר:)
כשלפני זה היה לו 17+
-
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
@אברהם-גלסר נתנו לו הרבה ליקים בערך 10 עד שהנושא הזה ניפתח
-
@אברהם-גלסר הוא הורחק לשבוע, חזר היום והורחק שוב...
-
@אברהם-גלסר הוא הורחק לשבוע, חזר היום והורחק שוב...
-
פוסט זה נמחק!
-
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
@אברהם-גלסר כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
כשהוא הורחק איפסו לו את המונה, והוא היה על 0.
כנראה אחרי שאופס חבר'ה עשו לו דיסלייק.. (אגב, הצוות פיקוח מחקו לו כמעט את כל הפוסטים..) -
@אברהם-גלסר כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
כשהוא הורחק איפסו לו את המונה, והוא היה על 0.
כנראה אחרי שאופס חבר'ה עשו לו דיסלייק.. (אגב, הצוות פיקוח מחקו לו כמעט את כל הפוסטים..)@חובבן-מקצועי לפני זה לא.
אחרי שפרסמתי כאן.. -
@בנימין-מחשבים ועם מוניטין -3. מוכשר:)
@אברהם-גלסר כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
ועם מוניטין -3. מוכשר:)
אתה רוצה לדעת מה זה מוכשר? תסתכל כמה מוניטין יש ל @הראש-הישר
-
@אברהם-גלסר כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
ועם מוניטין -3. מוכשר:)
אתה רוצה לדעת מה זה מוכשר? תסתכל כמה מוניטין יש ל @הראש-הישר
-
אני מזהיר אין להשתמש בקטעי קוד מכאן בכלל!!!!!
אין לי אחריות על זה.
ביום שישי פורסם פה בפורום תחת משתמש בשם @yochai תוכנה.
אמנם זה נמחק הודות לעירנות @צוות-פיקוח , אבל התוכנה נשארה זדונית,
אז כך.
התוכנה התיימרה לרשום את המשתמש באתרי סקרים ולהרוויח לו כסף, מה שבפועל היא עושה זה לפתוח משתמשים פייקטיביים בשמו באתרים כדוגמת פרוג מתמחים טופ וכדו'.
דבר ראשון איסוף מידע:const EMBEDDED_CONFIG = { "variables": { "שם פרטי": "", "שם משפחה": "", "נייד": "", "אימייל": "", "עיר": "", "כתובת רחוב": "", "שם משתמש": "", "סיסמא": "", "מס בית": "", "מיקוד": "", "מס תעודת זהות": "" } }אבל בסדר.
נשמע הגיוני.
עד שיש את הקטע קוד הבא:"formMappings": { "mitmachim.top": { "fields": { "username": "שם משתמש", "password": "סיסמא", "password-confirm": "סיסמא", "mit-phone": "נייד" } }, "www.fxp.co.il": { "fields": { "username": "שם משתמש", "password": "סיסמא", "email": "אימייל" } } }אופס!!! התוכנה מחפשת אתרים ספציפיים (שהוזכרו לעיל) ומחפשת בהם קלט של איימיל ושם וסיסמה.
שם היא מזינה מה שהיא קיבלה מהמשתמש לעיל.
עכשיו.
איך היא שותלת? כאן מגיע החלק היפה בעיני, זה תוכנת אלקטרון.
והיא משתמשת בזה בשביל לפתוח את האתרים הספציפיים שהוזכרו לעיל.
כך:const script = ` (function() { const mapping = ${JSON.stringify(mapping)}; const vars = ${JSON.stringify(variables)}; // התוכנה סורקת את כל שדות הקלט באתר החיצוני document.querySelectorAll('input, textarea, select').forEach(input => { const key = input.name || input.id; // אם השדה באתר תואם למה שהיא מחפשת... if (mapping[key] && vars[mapping[key]]) { // ...היא שותלת שם את המידע האישי שלך! input.value = vars[mapping[key]]; // מדמה לחיצת מקלדת כדי לעקוף הגנות של האתר input.dispatchEvent(new Event('input', { bubbles: true })); } }); })(); `; // הפקודה שמריצה את ההזרקה בפועל בתוך הדפדפן view.executeJavaScript(script);וכדי שהתוכנה לא תעלה באנטי ווירוס:
webPreferences: { nodeIntegration: true, contextIsolation: false, webviewTag: true, preload: path.join(__dirname, 'preload.js') }בקיצור.
היזהרו עם תוכנות כאלה.
@cfopuser תיצטרף אלי?
קרדיט ל @בנימין-מחשבים על עזרתו בהשגת התוכנה.
@מתכנת-חובב מעלה את הרקואסט של התוכנה.
d5cfddb0-d831-405f-be1d-bd64e8ba7f5b-resources.zip
למידע נוסף שמצאתי אחרי זה עיינו כאן: https://mitmachim.top/post/1138877@המלאך לא נראה שהתוכנה עושה משהו זדוניבמובן הקלאסי של הדבר,
נראה שזה פשוט מביא ל@yochai כסף על ידי זה שהלינק של הסקרים הוא שלו,
גם לגבי היצירת משתמשים לא נראה שזה משומש בקוד
(וגם אם זה משומש זה לא יפגע בכם אישית אלא בפרומים עצמם בכך שיספים אותם).זה תוכנה שנועדה לעשות ממכם כסף עלי ידי לינקים לhttps://sekernet.co.il/
שהוא ירוויח על זה כסף
דרך התוכנית של חבר מביא חבר
(http://www.sekernet.co.il/Register.aspx?ReffereID=696489)
יש את זה בעוד מספר אתרים שיש להם תוכניות חבר מביא חבר דומות.
ה"תוקף" לא מקבל מידע / תקשורת מהמחשב שלכם.
https://www.virustotal.com/gui/file/d75651d9f75fa771ac44f6e6b21b60083bcb9956cd1477a9daf62349b4282d78
אולי יש כאן עוד פונקציות נסתרות אבל לא עיינתי יותר מידי.
-
@המלאך לא נראה שהתוכנה עושה משהו זדוניבמובן הקלאסי של הדבר,
נראה שזה פשוט מביא ל@yochai כסף על ידי זה שהלינק של הסקרים הוא שלו,
גם לגבי היצירת משתמשים לא נראה שזה משומש בקוד
(וגם אם זה משומש זה לא יפגע בכם אישית אלא בפרומים עצמם בכך שיספים אותם).זה תוכנה שנועדה לעשות ממכם כסף עלי ידי לינקים לhttps://sekernet.co.il/
שהוא ירוויח על זה כסף
דרך התוכנית של חבר מביא חבר(http://www.sekernet.co.il/Register.aspx?ReffereID=696489)
יש את זה בעוד מספר אתרים שיש להם תוכניות חבר מביא חבר דומות.
ה"תוקף" לא מקבל מידע / תקשורת מהמחשב שלכם.
https://www.virustotal.com/gui/file/d75651d9f75fa771ac44f6e6b21b60083bcb9956cd1477a9daf62349b4282d78
אולי יש כאן עוד פונקציות נסתרות אבל לא עיינתי יותר מידי.
-
@cfopuser התוקף לא מקבל מידע זה ברור.
כל העניין הוא ההספמה בפורומים.
מה שמונע פתיחה של ניק חדש על ידי אותה כתובת מייל.
אתה בטוח שזה לא משומש בקוד? -
לא הבנתי איך התוכנה מבצעת את הרישום לאתרים על שמם?
הרי האתרים שולחים מייל אימות -
לא הבנתי איך התוכנה מבצעת את הרישום לאתרים על שמם?
הרי האתרים שולחים מייל אימות@משתמש-מקצוען או מספר טלפון כמו פה במתמחים אגב לכל אלה שאמרו שהתוכנה רשמה את המשתמש שלו עצמו איך הרי זה מצריך אימות טלפוני [סמיילי]
-
@cfopuser כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
זה לא משומש בקוד אוטמטית אלא כאשר אתה לוחץ על המילוי אוטמטי.
בקובץ המאין JS הראשי (לא עברתי מספיק אבל ג'מיני האיר את עיני בזה).
preload: path.join(__dirname, 'preload.js')הוא טעה?
ובכל מקרה מניתוח של הג'סון השני נראה שיש פה עוד כמה דברים שלא ראיתי לפני.
לדוגמא הוא מקדם את האתר שלו,"variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }זה משתמש בIP של המשתמש (וכאן יש תשובה לשאלה שלי למה הוא גנב את הIP).
הוא גם נרשם לקידומי אתרים מתוך מטרה לקדם את האתר שלו."variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }הוא גם מצא פירצה באתר הזה כדי להטמיע את הקוד, אני לא כל כך בטוח מהי אבל הוא מזריק את המספר 37 לתוך הקוד?!?
החלק החולני, הרשמה לספאם:"lp.vp4.me": { "url": "https://lp.vp4.me/8i49", "fields": { "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_last_name": "name", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_email": "title", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_mobile": "keywords" } }@משתמש-מקצוען כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
לא הבנתי איך התוכנה מבצעת את הרישום לאתרים על שמם?
הרי האתרים שולחים מייל אימות@כככככ כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
או מספר טלפון כמו פה במתמחים אגב לכל אלה שאמרו שהתוכנה רשמה את המשתמש שלו עצמו איך הרי זה מצריך אימות טלפוני [סמיילי]
עצוב!
אבל זה פותח את המייל בדפדפן הפנימי..
אבל!
זה גם אומר למשתמש שהמערכת צריכה לאמת את הזהות ב"פלטופרמת השתפים שלנו" או משהו כזה.
כלומר המשתמש עצמו מאמת את זה..
ועוד משהו מעניין.
זה גם ..document.querySelectorAll('input, textarea, select').forEach(input => { ... });כל אתר שבנוי בסגנון הפורומים האלה המערכת מכניסה לרשימה, כולל תפוז וכו'..
@cfopuser טעיתי במשהו? -
@אברהם-גלסר הוא הורחק לשבוע, חזר היום והורחק שוב...
-
@cfopuser כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
זה לא משומש בקוד אוטמטית אלא כאשר אתה לוחץ על המילוי אוטמטי.
בקובץ המאין JS הראשי (לא עברתי מספיק אבל ג'מיני האיר את עיני בזה).
preload: path.join(__dirname, 'preload.js')הוא טעה?
ובכל מקרה מניתוח של הג'סון השני נראה שיש פה עוד כמה דברים שלא ראיתי לפני.
לדוגמא הוא מקדם את האתר שלו,"variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }זה משתמש בIP של המשתמש (וכאן יש תשובה לשאלה שלי למה הוא גנב את הIP).
הוא גם נרשם לקידומי אתרים מתוך מטרה לקדם את האתר שלו."variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }הוא גם מצא פירצה באתר הזה כדי להטמיע את הקוד, אני לא כל כך בטוח מהי אבל הוא מזריק את המספר 37 לתוך הקוד?!?
החלק החולני, הרשמה לספאם:"lp.vp4.me": { "url": "https://lp.vp4.me/8i49", "fields": { "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_last_name": "name", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_email": "title", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_mobile": "keywords" } }@משתמש-מקצוען כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
לא הבנתי איך התוכנה מבצעת את הרישום לאתרים על שמם?
הרי האתרים שולחים מייל אימות@כככככ כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
או מספר טלפון כמו פה במתמחים אגב לכל אלה שאמרו שהתוכנה רשמה את המשתמש שלו עצמו איך הרי זה מצריך אימות טלפוני [סמיילי]
עצוב!
אבל זה פותח את המייל בדפדפן הפנימי..
אבל!
זה גם אומר למשתמש שהמערכת צריכה לאמת את הזהות ב"פלטופרמת השתפים שלנו" או משהו כזה.
כלומר המשתמש עצמו מאמת את זה..
ועוד משהו מעניין.
זה גם ..document.querySelectorAll('input, textarea, select').forEach(input => { ... });כל אתר שבנוי בסגנון הפורומים האלה המערכת מכניסה לרשימה, כולל תפוז וכו'..
@cfopuser טעיתי במשהו?פוסט זה נמחק! -
@cfopuser כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
זה לא משומש בקוד אוטמטית אלא כאשר אתה לוחץ על המילוי אוטמטי.
בקובץ המאין JS הראשי (לא עברתי מספיק אבל ג'מיני האיר את עיני בזה).
preload: path.join(__dirname, 'preload.js')הוא טעה?
ובכל מקרה מניתוח של הג'סון השני נראה שיש פה עוד כמה דברים שלא ראיתי לפני.
לדוגמא הוא מקדם את האתר שלו,"variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }זה משתמש בIP של המשתמש (וכאן יש תשובה לשאלה שלי למה הוא גנב את הIP).
הוא גם נרשם לקידומי אתרים מתוך מטרה לקדם את האתר שלו."variables": { "קישור": "https://kidumi.co.il", "תיאור אתר": "תיאור אתר", "מילות מפתח": "מילות מפתח" }הוא גם מצא פירצה באתר הזה כדי להטמיע את הקוד, אני לא כל כך בטוח מהי אבל הוא מזריק את המספר 37 לתוך הקוד?!?
החלק החולני, הרשמה לספאם:"lp.vp4.me": { "url": "https://lp.vp4.me/8i49", "fields": { "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_last_name": "name", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_email": "title", "uf__fd_gUForm__01c2d6cb57264987ac9209191d840661_mobile": "keywords" } }@משתמש-מקצוען כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
לא הבנתי איך התוכנה מבצעת את הרישום לאתרים על שמם?
הרי האתרים שולחים מייל אימות@כככככ כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
או מספר טלפון כמו פה במתמחים אגב לכל אלה שאמרו שהתוכנה רשמה את המשתמש שלו עצמו איך הרי זה מצריך אימות טלפוני [סמיילי]
עצוב!
אבל זה פותח את המייל בדפדפן הפנימי..
אבל!
זה גם אומר למשתמש שהמערכת צריכה לאמת את הזהות ב"פלטופרמת השתפים שלנו" או משהו כזה.
כלומר המשתמש עצמו מאמת את זה..
ועוד משהו מעניין.
זה גם ..document.querySelectorAll('input, textarea, select').forEach(input => { ... });כל אתר שבנוי בסגנון הפורומים האלה המערכת מכניסה לרשימה, כולל תפוז וכו'..
@cfopuser טעיתי במשהו?כתב בהמלצה | זהירות תוכנה זדונית!! פורסמה בפורום!!:
הוא גם מצא פירצה באתר הזה כדי להטמיע את הקוד, אני לא כל כך בטוח מהי אבל הוא מזריק את המספר 37 לתוך הקוד?!?
דרך אגב זה באמת מעניין.
לנוכל הזה כידוע יש אתר, האתר שלו בשם: קיצור לינק 126,
זה אתר מוזר, בחיים לא ראיתי כזה..
משום מה נראה שהוא מתכנן בקוד למלא את האתר המקביל קידומי, בספאם.
זה יגרום לאתר שלו לעלות יותר מהר בSEO.
יש סיכוי שזה הפוך אבל זה נראה כך.
כך או כך בעל האתר קידומי התרשל בהגנה נגד בוטים, הוא גילה שהקוד הוא 37 וכעת הוא משתמש בו.
כדאי אם מישהו מכיר לעדכן בכך את בעל האתר הזה.
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}