• Home
  • O mně
  • Filosofie a psychologie
  • Miranda Schmutzka’s Pack
  • Opera
  • Pravda o 9/11
  • Wg
  • Odkazy
Blue Orange Green Pink Purple

JS-Downloader a JS-Redirector

Komentuj | Vyblito někdy kolem 14:09 dne 27. 05. 2009 | Nakuknuto 276×
Značky: návod, o virech
May 27

Veselý koníček

JS:Downloader a JS:Redirector (dále jako vir). Nikdo o nich nic neví, jen o nich slyšeli a mají hrubou představu o tom, jak vypadají. Stejně jako kdysi o prasečí chřipce. Kdo je ovšem právě prodělává, tak se příznaky a infekcí seznámí lépe. Já jsem tímto darem milosrdně obdarován. Tímto bych chtěl tvůrcům poděkovat za 4 krásné týdny telefonátů, stresování a her se soubory kvůli tomuto viru. Ale teď seriózně.

English version »

Symptomy

  1. Vir napadá index, config, settings a podobné soubory.
  2. Taktéž napadá veškeré soubory s příponou js.
  3. Napadené (ne js) soubory jsou většinou o pár KB větší než jejich původní zdravé verze (tj. snad logické).
  4. Napadá veškeré html soubory, pokud se vyskytují v indexové složce (potvrzeno).

Detekce

  1. Vir detekuje Avast s updatem k dnešnímu dni (květen 2009).
  2. Pokud vir není Avastem detekován při prohlížení stránek ve Vašem oblíbeném (či jiném) prohlížeči, a vy víte (máte ohlasy od jiných), že tam je, nejspíše se stránky načítají z cache. Smažte tedy cache a přesvědčíte se, že tam je. Dlouho jsem kvůli této drobnsoti nechápal, proč se jiným vir zobrazuje a mně ne.

Dočasné řešení

  1. Přehrajte stránky zálohou.
  2. Nemáte-li obsahově shodnou – např. jste upravovali index.php na jiném pc a nechcete ho přepisovat starou verzí z Vašeho pc, nebo nemáte všechny soubory u sebe na pc – stáhněte soubory k sobě na pc.
  3. Hlášení odklikejte a soubory editujte v PSPadu. Nakažené soubory začínají určitým nesmyslným php skriptem (viz dále).
  4. Pokud budete mít štěstí a následující den či dva bude v poklidu, můžete jásat. Jste vyléčeni.

Rutinní opatření (ne že by to přímo pomohlo, ale radši to udělejte)

  1. Změna hesla na hosting.
  2. Neukládat heslo v TC (aspoň si ho zapamatujete).

Ultimatní řešení

A. Web na localhostu a web online mají stejnou podobu

  1. Smažte komplet FTP a nahrajte web ze zálohy.
  2. Vše.

B. Web na localhostu a web online se liší (i drobnostmi) (nebo pokud B nepomohlo)

  1. Odstraňte z nakažených souborů škodlivý kód. Že je čisto poznáte tak, když mačkáte F5 a Avast už nic nehlásí.
  2. Projděte všechny složky images a odstarňte image.php (pokud tam nepatří).
  3. Vše.

C. Pokud ani B nepomohlo

  1. Stáhněte veškeré ne js soubory. Pokud v nějakém souboru bude avast hlásit nakažení, editujte ho v PsPadu a odstraňte škodlivý kód.
  2. S js soubory je amen. Ty musíte mít v záloze, nebo je znovu stáhnout z internetu. Pokud je někdo umíte “léčit”, podělte se, prosím, o řešení v komentářích.
  3. Tím tedy máte veškerý obsah FTP na čistém localhostu.
  4. Smažte komplet FTP a nahrajte web ze zálohy.

Největší zákeřnost viru

Ve složce images jsem nalezl image.php obsahující vir. Vir se tedy zřejmě schovává mezi obrázky, kde jej nikdo nehledá (tedy aspoň já ne). Dal jsem tedy hledat image.php v jiných složkách na stejném serveru a? Našel jsem další ohniska viru, ve dvou složkách. Takže toto si také ošetřte.

Jedná se o největší zákeřnost viru, protože kód v image.php mi Avast nedetekoval, takže jsem při zálohování a čištění FTP o něm vůbec netušil a přesto, že jsem veškeré ostatní neplechy odstranil, vir se opět rozšířil z těchto míst.

Škodlivé zdrojáky

Pokud si chcete ušetřit čast, můžete použít najít a nahradit za použítí zdrojových kódů, které naleznete v jednou z Vašich souborů. Opravdu nejdou přehlédnout. Obvykle začínají takto:

  • <?php eval(base64_decode(...
  • <script language=javascript><!-- (function(...
  • <?php if(!function_exists('...

Tak, doufám, že jsem postiženým pomohl s jejich trápením, které bylo podobné tomu mému (a že jsem slabšího vira ještě neměl). A jak jsem se vlastně nakazil? To už jistě nevím. Nechci to házet mocný Greybox, ale při nejmenším byl prostředníkem. Škoda, měl jsem dávat víc pozor :-).

A teď to celé přeložím do angličtiny. Ty 4 týdny za to stojí.

English version

JS:Downloader and JS:Rdcirector (further as virus). Nobody doesn't know anything about them. They only heard about it or have an idea about how does it look like. Just like about swine influenza once. The one, who is being ill meets symptoms and infection closer. I was mercifully gifted by this... cut this. Now seriousely.

Symptoms

Virus infects index, config, settings and similar files.
It also infects all js files.
Infected (except js) files are usually few KB bigger then their healthy opposites (logically).
Also infects all html files in index folder.

Detection

Virus is detected by Avast with update from May 2009.
If virus is not detected by Avast and some of your friends tell you "you have a virus on your page", you have to clear your cache to see it too.

Temporary solution

Overwrite FTP with you localhost version.
If content of your FTP and localhost version have some differences, dowload your FTP to your localhost.
On every Avast warning click "no action" and edit those files in PsPad. Infected files contain specific non-sense script (see below).
If you are lucky and next day or two will be ok on your website, you can celebrate. You are cured.

Routine steps

Change your FTP password.
Do not save your password in TC (good for memory training).

Ultimate solutions

A. Localhost and FTP version are the same

Delete complete FTP and transfer there your localhost version.
That's it.

B. Localhost and FTP version are not quite the same (or A didn't work for you)

Delete from infected files non-sense script (see below). If you keep pressing F5 after each file-clearence (which includes transfering the file to FTP) and Avast stops yelling at you about the virus, you're done (in a good way).
Go through ale folder called images and delete image.php (if it doesn't bellong there).
That's it.

C. If even B didn't work for you

Download all files (except js). Clear every infected file as said in B.
Js on your FTP are dead, so if you don't have their clear version on your localhost, you have to download them somewhere from the Internet, as you did in the first time. If you have some solution how to cure js files infected this way, please, share it with us in comments.
So now you have all your FTP sound and safe and clear on your localhost.
Delete complete FTP and transfer there your localhost version.
That's it. And if not, amen with you.

The greatest deceit of the virus

In folder images I've found image.php containing only the virus. Virus is evidently hiding among images, where nobody expects it (at least not me). So I sought image.php in other folder on the same server. And? Two more infected files. So keep your eye on this.

It's the greatest deceit of the virus, because Avast is not able to detect this image.php.

Virus script

If you want to save your time, you can use search and replace using script of the virus, which you can find in your files. It's hard not to see them. Usually start with:

So, I hope I give you some useful advices which help you to prevail against this ugly virus.
How I got infected actually? I'm not quite sure. I don't want blame powerfull Greybox, but it was a mediator at least. Pite me, I should have paid attention :-).

Řekni taky něco

  • Taky dobrý
    • 2NiNe's lair
    • BF Kenny :-) a jeho skvělý pokoj!
    • Blog jedné Nykki
    • Cerberus – politický blog, názory, komentáře
    • Fergiina myslánka
    • Kahi’s mindprint
    • Krásný kluk
    • Straikiho blog
    • Zdravé poznámky
  • Pláci
    • Všimli jste si, že hodně z vás trpí básnickým koplexem - hodně toho napíšete, ale nic skutečného nesdělíte, čtenář aby hádal, co je míněno. url » 2010/07/22
    • @djdruid: If I may have a request -> Bachelors Of Science - Song For Lovers, or sth else from em =) chers up bro, BOH! url » 2010/07/22
    • Opilecká zábava na Konečném náměstí http://www.ct24.cz/doprava/94951-tragicky-vikend-na-silnicich-pokracuje-sobota-a-sest-mrtvych/ url » 2010/07/22
  • Poslední komety
    • Ricky on Jak nainstalovat Counter Strike 1.6?
    • Elena on Jak pejsek a kočička vařila polévku
    • Soviet on Jak na to: Rušíme účet u KB za co nejmíň
    • Light on Sleeper.cz – měření spánku, záznam snů, sebekontrola a flow fenomen
    • ?????? on Sleeper.cz – měření spánku, záznam snů, sebekontrola a flow fenomen
  • Tags
    aplikace djing dramec FIT fotky miranda pack návod na bytě o o životě o běhání o blogu o bombení o Brně o demenci o fastfoodech o fesťácích ohňostroje o hrách o jídle o kině o komunistech o kultuře o lenosti o mg o ničem o Pardubicích o penězích o psychologii o punku o spánku o sportu o virech o vztazích o webgame o zlu pařby po slovensky psycho sety Světluška teleshoping v Terči webdesign zápis z věku
  • Schmutzka.eu
  • www.sleeper.cz
  • WG tabs
  • Koloušci
  • Osová smyčka
  • Fesťáky 2010

© copyright 2009 | Schmutzka
Great template based upon FTL. Much appreciated.

Navrch