Tag Archives: solutie curatare virus

Despre virusul Trojan Downloader

Am intalnit si virusul “TrojanDownloader.Agent.NQB.gen trojan” bagat intr-un 404.shtml, fisier care se pune la un hoster (firma ce ofera servicii de gazduire) si care este folosit pentru a da un raspuns de 404, in caz de nexistenta a fisierului cerut.

Antivirusii vizitatorilor site-ului executau codul javascript al acestui virus, de exemplu pe o cerere a fiserului “favicon.ico”, pe care il cere browserul la orice site vizitat.

Mod de eliminare:

  • schimbarea parolelor de FTP
  • inlocuirea fisierului cu unul “curat”, dintr-un back-up
  • continuarea monitorizarii site-ului

Despre virusul TrojanClicker Iframe

In ultimele luni a aparut un nou mod de hacking de site-uri: instalarea in ele de iFrame-uri, prin scripturi javascript. Ultima versiune pe care a trebuit sa o scot a fost TrojanClicker.Iframe.GT.gen trojan. Aceasta era instalat intr-un fisier index.php al unui site. Atacul de azi a venit din Singapore de la hostul 203.116.63.121

Ce modifica astfel de virus si cum se instaleaza in site?

Virusul modifica fisierele cu denumiri cheie: “index.php”, “login.php”, “index.html”, “config.php” etc.
Modificarea fisierelor se face prin download + modificare + upload prin FTP. Deci modifica parola de FTP daca esti virusat!

Ce trebuie sa faci ca sa scoti astfel de virusi dintr-un site?

  • schimba parolele de FTP. (Este o solutie pana la urmatoarea versiune de virus)
  • schimba parolele de MySQL. Daca aveau acces la FTP, deci pot citi si fisiere de configurare de la baza de date.
  • copiaza fisierele site-ului pe server dintr-un back-up. Daca nu ai back-up, fa-ti!
  • urmareaste log-ul de FTP pentru a gasi hostul de unde s-a instalat si blockeaza-l prin .htaccess
  • pune-ti intrebari de genul: “Cum de a aflat parola de FTP instalatorul virusului?”

Exemple ale actionarii virusilor de tip “IFrame”

– codul inserat exporta PDF-uri care exploateaza bug-uri ale Acrobat Reader-ului
– codul javascript deschide site-uri de cumparaturi
– functiile virusilor contin denumire de genul: “tmp_lkojfghx”, “base64_decode(‘aWYoaXNzZXQ”. Cauta toate fisierele care ar putea contine astfel de cuvinte si inlocuieste-le cu unele “curate”, dintr-un back-up.