Forum programu Dr.WEB
Forum użytkowników programu Dr.WEB

Wirusy komputerowe - JS.IFRAME.425

megler - 2013-05-04, 18:29
Temat postu: JS.IFRAME.425
Ostatnio wykryta została duża liczba plików zainfekowanych wirusem znanym programowi DrWeb pod nazwą JS.IFRAME.425 . Jak usunąć wirusa. Niestety reakcja podjęta przez program DrWeb to usunięcie pliku zainfekowanego. Po głębszej analizie doszedłem do wniosku, że wirus dołącza do pliku html na jego końcu okolo 150 bajtów kod. Długość nie jest stała ponieważ zależy od nazwy domeny z zainfekowanymi plikami.

Z informacji uzyskanych od jednego z naszych klientów wynika:
- jest to robak typu Malware
- pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- pobiera ustawienia FTP (loginy, hasła), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www


Kod zawarty w dodawanej do pliku linii potwierdza tworzenie iframe z atrybutem hidden (ukryty).


Powered by phpBB modified by Przemo © 2003 phpBB Group