wcp 11 Опубликовано 14 июня, 2012 Жалоба Share Опубликовано 14 июня, 2012 Получил жалобу, что при открытии карточки товара из-под андроида происходит аномалия. Проверил, захожу в карточку с самсунга 5830, с помощью штатного браузера "интернет": - через раз грузится картинка товара - в адресной строке вместо урла магазина появляется ссылка на uxfile.com и... - ..происходит скачивание файла demo.apk Установиться файл не может, DrWeb Lite режет ему яйца на корню, идентифицируя как Android.SmsSend.origin.132 Примечательно, что смссендер обнаруживается только в этом штатном андроидном браузере, в опере ничего страшного не происходит, на ноуте - тоже. Проверил магазин в http://sitecheck.sucuri.net/scanner/ и с помощью онлайн-утилиты http://www.freedrweb.com/aid_admin/ - чисто. .htaccess корневой чист, лишних .php файлов в /images и /admin/images нет Ифреймы не обнаружены. Запихнул в дрвебовский онлайн-сканер этот самый demo.apk: Проверка: demo.apk Версия антивирусного ядра: 7.0.2.4281 Вирусных записей: 2924286 Размер файла: 50.13 КБ MD5 файла: 2535d2fc3f3969b25d3c2d999bb0ea04 demo.apk - archive JAR >demo.apk/META-INF/MANIFEST.MF - Ok >demo.apk/META-INF/WAPCASH_.SF - Ok >demo.apk/META-INF/WAPCASH_.RSA - Ok >demo.apk/AndroidManifest.xml - Ok >demo.apk/assets/ - Ok >demo.apk/assets/numbers.xml - Ok >demo.apk/classes.dex infected with Android.SmsSend.673.origin >demo.apk/res/ - Ok >demo.apk/res/drawable-hdpi/ - Ok >demo.apk/res/drawable-hdpi/icon.png - Ok >demo.apk/res/drawable-hdpi/opera.jpg - Ok >demo.apk/res/drawable-hdpi/ropera.jpg - Ok >demo.apk/res/drawable-hdpi/textbg.xml - Ok >demo.apk/res/drawable-hdpi/titlebg.xml - Ok >demo.apk/res/drawable-ldpi/ - Ok >demo.apk/res/drawable-ldpi/icon.png - Ok >demo.apk/res/drawable-mdpi/ - Ok >demo.apk/res/drawable-mdpi/icon.png - Ok >demo.apk/res/layout/ - Ok >demo.apk/res/layout/control.xml - Ok >demo.apk/res/layout/controll.xml - Ok >demo.apk/res/layout/general.xml - Ok >demo.apk/res/layout/information.xml - Ok >demo.apk/res/layout/install.xml - Ok >demo.apk/resources.arsc - Ok Если кому интересно, можете попробовать http://adf.in.ua/buket-iz-51-krasnoj-rozy.html Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 14 июня, 2012 Жалоба Share Опубликовано 14 июня, 2012 Видимо, где-то сидит в файлах эта кака, раз скачивает что-то. По умолчанию точно всё чисто и ничего подобного в коде нет. Ссылка на сообщение Поделиться на другие сайты
wcp 11 Опубликовано 14 июня, 2012 Автор Жалоба Share Опубликовано 14 июня, 2012 пробовал искать ифреймы - нету Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 15 июня, 2012 Жалоба Share Опубликовано 15 июня, 2012 Может в javascript файлах стоит какой-то редирект. Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 15 июня, 2012 Жалоба Share Опубликовано 15 июня, 2012 Мне кажется что из за этого может быть. Андроит в файлах стилей может воспринимать данной хак как редирект. и это как раз картинка загрузки data:image/gif;base64,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 Лезет к Вам он через redhelper. попробуйте у них спросить Ссылка на сообщение Поделиться на другие сайты
wcp 11 Опубликовано 15 июня, 2012 Автор Жалоба Share Опубликовано 15 июня, 2012 Если это редхелпер, то "фишка" появилась сравнительно недавно - у меня жена часто и густо ходит в магазин со смарта, она бы уж точно заметила трояна. Отписался в саппорт, ждем-с ответа. Ссылка на сообщение Поделиться на другие сайты
YuraS 4 Опубликовано 15 июня, 2012 Жалоба Share Опубликовано 15 июня, 2012 мобильные редиректы могут быть вшиты и в обычные файлы движка. ревизию всех файлов на предмет посторонних включений надо делать. Ссылка на сообщение Поделиться на другие сайты
wcp 11 Опубликовано 22 июня, 2012 Автор Жалоба Share Опубликовано 22 июня, 2012 redhelper не отмахнулся от моего сообщения: Артем Наумов, 18 06 12:23 (MSK): Добрый день, Спасибо за обращение. Скорее всего проблема связана с последним обновлением кнопк чата, которое было произведено с целью сделать кнопку модифицируемой. Мы постараемся установить причину в ближайшее время. Сейчас проверил - вроде все ровно, ничего не грузится лишнего. Ссылка на сообщение Поделиться на другие сайты
KoVaLsKy 59 Опубликовано 22 июня, 2012 Жалоба Share Опубликовано 22 июня, 2012 я же сказал это они ))))) Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения