JS.Siggen.192

Можете руками почистить, хотите - можете скинуть в личку доступ по фтп - пройдусь скриптом, он быстро всё вылечит.

---------- Добавлено 05.04.2012 в 16:21 ----------

Неожиданно от нода, хвала ему. Каспер такие файлы например наглухо удаляет :)

Если у вас есть навыки работы в

unixshell, и ваш тарифный план позволяет подключиться к unixshell, то

данный вирус можно очень быстро удалить из всех js файлов:

> find . -type f -name "*.js" | xargs -n 1 sed -i.bak 's/^var.*Array.prototype.slice.call.*arguments.*join.*try{throw.*//g'

> find . -type f -name "*.bak" -delete

Первой командой мы ищем файлы js, список файлов пропускаем через

строчный редактор sed, который удаляет строку с вирусом по заданному

куску кода, характерному для этого вируса.

Второй командой мы удаляем резервные копии js файлов, образовавшиеся в

результате работы редактора sed.

Не забудьте поменять пароли к ftp и проверить компьютеры, с которых велась работа с этими ftp логинами, на вирусы!

Сегодня тоже пришло письмо от РУ-центра

Вирус тот же кажись, дописался последней строкой во все .js файлы которые нашел.

Неожиданно простое и толковое решение! Спасибо, Яндекс больше не ругаеться!

Только это сравнимо с тем, что у вас есть дом, в котором кто-то постоянно гадит. Вы мусор выкидываете, а через день там опять нагажено.

Надо искать причину, а не устранять следствие.

На данный момент причина неизвестна, так хотя бы последствия убирать. Не сидеть же и смотреть на зараженные сайты :)

Почему причина неизвестна-то?:)

Работа вируса известна - он использует последние уязвимости в ПО java. Вот такие например: http://krebsonsecurity.com/2012/04/urgent-fix-for-zero-day-mac-java-flaw/

Заходит человек со старой явой на зараженный сайт любым браузером, вирус активируется, через дыру в яве получает доступ к файловой системе компьютера, сканирует ftp пароли, сливает их злоумышленникам. Те запускают бота, который ходит по украденным ftp учеткам, и добавляет тело эксплойта в Js файлы. И все это замыкается в замкнутый круг, сеть зараженных сайтов растет, база украденных паролей растет.

Два золотых правила - не сохранять пароли в ftp клиентах, и своевременно обновлять браузеры и их компоненты (ява, adobe flash) - спасли бы мир, если бы все следовали этим правилам.

Некоторые клиенты считают, что это хостер виноват, и его поломали. Ну в таком случае было бы гораздо больше пострадавших (у нас - меньше 1% от общего количества ftp логинов). И в списке пострадавших фигурируют дополнительные ftp логины, криптованная база которых лежит вообще в отдельной песочнице. Так что, любители пообвинять хостера во всех смертных грехах - начните, пожалуйста, с себя. Поменяйте пароли и обновите наконец, интернет эксплорер, яву и адобе флеш.

Ибо если ява пропустит трояна, не поможет даже касперский, в случае если троян свеженький. Погуглите "ftp pinch". Найдете море инструкций, что такое пинч, из каких программ он может красть пароли, как самому создать пинча, как его закриптовать, чтобы антивирусы не находили..

Пароль на машине вообще не храню, но тоже подцепил этот вирусняк в феврале и снова в апреле. Дописывает всякую гадость в конец всех js-файлов. Если сейчас заражение идет с 50.115.122.28, то раньше было с 146.185.242.135.

Добавились сингатуры.

find . -type f -name "*.js" | xargs -n 1 sed -i.js2b -e 's/^var.*Array.prototype.slice.call.*arguments.*join.*try{throw.*//g' -e 's/^d=Date;d=new d();h=-parseInt(.012.).*//g' -e 's/^.*;}function .*(.*){return (.*)\[.*\](0);}.*$//g'

*.bak использовать опасно, так как возможно это будут пользовательские данные.

вы не так все воспринимаете все работает иначе :)