Despre virusul TrojanClicker Iframe

In ultimele luni a aparut un nou mod de hacking de site-uri: instalarea in ele de iFrame-uri, prin scripturi javascript. Ultima versiune pe care a trebuit sa o scot a fost TrojanClicker.Iframe.GT.gen trojan. Aceasta era instalat intr-un fisier index.php al unui site. Atacul de azi a venit din Singapore de la hostul 203.116.63.121

Ce modifica astfel de virus si cum se instaleaza in site?

Virusul modifica fisierele cu denumiri cheie: “index.php”, “login.php”, “index.html”, “config.php” etc.
Modificarea fisierelor se face prin download + modificare + upload prin FTP. Deci modifica parola de FTP daca esti virusat!

Ce trebuie sa faci ca sa scoti astfel de virusi dintr-un site?

  • schimba parolele de FTP. (Este o solutie pana la urmatoarea versiune de virus)
  • schimba parolele de MySQL. Daca aveau acces la FTP, deci pot citi si fisiere de configurare de la baza de date.
  • copiaza fisierele site-ului pe server dintr-un back-up. Daca nu ai back-up, fa-ti!
  • urmareaste log-ul de FTP pentru a gasi hostul de unde s-a instalat si blockeaza-l prin .htaccess
  • pune-ti intrebari de genul: “Cum de a aflat parola de FTP instalatorul virusului?”

Exemple ale actionarii virusilor de tip “IFrame”

– codul inserat exporta PDF-uri care exploateaza bug-uri ale Acrobat Reader-ului
– codul javascript deschide site-uri de cumparaturi
– functiile virusilor contin denumire de genul: “tmp_lkojfghx”, “base64_decode(‘aWYoaXNzZXQ”. Cauta toate fisierele care ar putea contine astfel de cuvinte si inlocuieste-le cu unele “curate”, dintr-un back-up.

3 thoughts on “Despre virusul TrojanClicker Iframe

  1. dt

    Degeaba blochezi un IP, urmatorul atac o sa fie de pe un altul (sau mai nou, de pe mai multe simultan). Solutia e simpla: schimbi parolele (asa cum ziceai) si instalezi un antivirus bun (cu o rata de detectie cat mai mare, ex Kaspersky). Pe partea de server se poate limita accesul FTP la anumite IP-uri (ex IP-urile tale sau doar .ro)

  2. gloria

    hei,poate ma poti ajuta,nu ma prea pricep cu chestiile astea dar am patit ceva asemanator cu ce ai scris , de cateva zile pe 3 iduri nu mai pot sa intru pt ca mi s-a schimbat parola ,si s-o resetez nici atata,intru pe un id ,a 2 zi nu mai mere,si tot asa . Si cu parola de la net tot asa am patit,noroc ca mai am un calculator legat la modem si pot fac conexiunea de acolo,de pe al meu nu mere,zice ca e gresita parola.Cu id-urile am incercat de pe alt comp sa intru ,dar nimic.Deci te rog daca e vreo rezolvare,ceva,orice sa dai un reply la commentu meu sau sa-mi trimiti un mail pt ca am multe chestii importante pe un mail si nu mai pot sa-l accesez .
    o zi buna!:)

  3. admin Post Author

    Salut, nu prea inteleg exact ce fel de ID-uri sunt cele trei, dar presupun ca sunt ID la niste conturi de gazduire si le accesezi prin FTP.
    Cred ca virusul care raporteaza parolele la “chinezi”, este pe calculator si asa pot sa iti afle parolele (cred = domeniul teoriei consipiratiei).

    Poti sa NU salvezi nici o parola de FTP sau admin prin browser si sa te conectezi de fiecare data introducand inca o data userul si parola.
    Pana devirusezi si cureti calculatorul. Noteaza-le pe hartie si le introduci de fiecare data. De schimbat trebe sa le schimbi de la alt calculator, care nu e cu tine in retea, deci unul “curat”. Apoi dupa ce schimbi si totul este cunoscut numai de tine, poti incepe devirusarea si POATE o sa se rezolve si vei putea salva si parolele.
    Sau schimba programul de FTP si alegi unul mai sigur, sau alta versiune de browser etc. Nu stiu exact ce programe ai si nici alte sfaturi pentru versiuni sa iti dau.
    Succes.

Leave a Reply

Your email address will not be published. Required fields are marked *


*