|
Forum programu Dr.WEB Forum użytkowników programu Dr.WEB |
|
Wirusy komputerowe - JS.IFRAME.425
megler - 2013-05-04, 18:29 Temat postu: JS.IFRAME.425 Ostatnio wykryta została duża liczba plików zainfekowanych wirusem znanym programowi DrWeb pod nazwą JS.IFRAME.425 . Jak usunąć wirusa. Niestety reakcja podjęta przez program DrWeb to usunięcie pliku zainfekowanego. Po głębszej analizie doszedłem do wniosku, że wirus dołącza do pliku html na jego końcu okolo 150 bajtów kod. Długość nie jest stała ponieważ zależy od nazwy domeny z zainfekowanymi plikami.
Z informacji uzyskanych od jednego z naszych klientów wynika:
- jest to robak typu Malware
- pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- pobiera ustawienia FTP (loginy, hasła), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www
Kod zawarty w dodawanej do pliku linii potwierdza tworzenie iframe z atrybutem hidden (ukryty).
|
|