Despre virusul TrojanClicker Iframe

In ultimele luni a aparut un nou mod de hacking de site-uri: instalarea in ele de iFrame-uri, prin scripturi javascript. Ultima versiune pe care a trebuit sa o scot a fost TrojanClicker.Iframe.GT.gen trojan. Aceasta era instalat intr-un fisier index.php al unui site. Atacul de azi a venit din Singapore de la hostul 203.116.63.121

Ce modifica astfel de virus si cum se instaleaza in site?

Virusul modifica fisierele cu denumiri cheie: “index.php”, “login.php”, “index.html”, “config.php” etc.
Modificarea fisierelor se face prin download + modificare + upload prin FTP. Deci modifica parola de FTP daca esti virusat!

Ce trebuie sa faci ca sa scoti astfel de virusi dintr-un site?

  • schimba parolele de FTP. (Este o solutie pana la urmatoarea versiune de virus)
  • schimba parolele de MySQL. Daca aveau acces la FTP, deci pot citi si fisiere de configurare de la baza de date.
  • copiaza fisierele site-ului pe server dintr-un back-up. Daca nu ai back-up, fa-ti!
  • urmareaste log-ul de FTP pentru a gasi hostul de unde s-a instalat si blockeaza-l prin .htaccess
  • pune-ti intrebari de genul: “Cum de a aflat parola de FTP instalatorul virusului?”

Exemple ale actionarii virusilor de tip “IFrame”

– codul inserat exporta PDF-uri care exploateaza bug-uri ale Acrobat Reader-ului
– codul javascript deschide site-uri de cumparaturi
– functiile virusilor contin denumire de genul: “tmp_lkojfghx”, “base64_decode(‘aWYoaXNzZXQ”. Cauta toate fisierele care ar putea contine astfel de cuvinte si inlocuieste-le cu unele “curate”, dintr-un back-up.

2 thoughts on “Despre virusul TrojanClicker Iframe

  1. Degeaba blochezi un IP, urmatorul atac o sa fie de pe un altul (sau mai nou, de pe mai multe simultan). Solutia e simpla: schimbi parolele (asa cum ziceai) si instalezi un antivirus bun (cu o rata de detectie cat mai mare, ex Kaspersky). Pe partea de server se poate limita accesul FTP la anumite IP-uri (ex IP-urile tale sau doar .ro)

  2. hei,poate ma poti ajuta,nu ma prea pricep cu chestiile astea dar am patit ceva asemanator cu ce ai scris , de cateva zile pe 3 iduri nu mai pot sa intru pt ca mi s-a schimbat parola ,si s-o resetez nici atata,intru pe un id ,a 2 zi nu mai mere,si tot asa . Si cu parola de la net tot asa am patit,noroc ca mai am un calculator legat la modem si pot fac conexiunea de acolo,de pe al meu nu mere,zice ca e gresita parola.Cu id-urile am incercat de pe alt comp sa intru ,dar nimic.Deci te rog daca e vreo rezolvare,ceva,orice sa dai un reply la commentu meu sau sa-mi trimiti un mail pt ca am multe chestii importante pe un mail si nu mai pot sa-l accesez .
    o zi buna!:)

Leave a Reply

Your email address will not be published. Required fields are marked *

*