Ostatnio wykryta została duża liczba plików zainfekowanych wirusem znanym programowi DrWeb pod nazwą JS.IFRAME.425 . Jak usunąć wirusa. Niestety reakcja podjęta przez program DrWeb to usunięcie pliku zainfekowanego. Po głębszej analizie doszedłem do wniosku, że wirus dołącza do pliku html na jego końcu okolo 150 bajtów kod. Długość nie jest stała ponieważ zależy od nazwy domeny z zainfekowanymi plikami.
Z informacji uzyskanych od jednego z naszych klientów wynika:
- jest to robak typu Malware
- pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- pobiera ustawienia FTP (loginy, hasła), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www
Kod zawarty w dodawanej do pliku linii potwierdza tworzenie iframe z atrybutem hidden (ukryty).
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
