Взломали сайты

Каксперский знает этот вирус уже с конца марта. Поэтому не факт что у клиентов стырили доступы...

technomaster, знает то он знает, но почему-то у меня он нашелся только во время полной проверки.

Тему можно закрывать. Дело не во взломе сайтов, а тыреве паролей от ФТП с компьютера посредством вируса, с последующим вирусным спамом в JS файлах.

Сайты этой дрянью начали заражать раньше. Первое время он этот вирус в JS не видел.

Смотр разные варианты у разных людей:

Trojan-Downloader.JS Agent - Аваст

Trojan-Spy.Win32.Logger.s - Касперыч

JS.Siggen.192 - Nod.32

в общем зараза обширная :(

Так ребят, пока не удалил, вытащил для вас то, что встраивали во все сайты (однако с разным кодом).

Вот ссылка http://depositfiles.com/files/3fz29ho1c Там в конце файла после вар начинается эта вся фигня.

Если кто сможет - расшифруйте гадилку! Интересно даже

5 страниц флуда ниочем, Серч собственной персоной.

Первое что нужно видеть - это сам вирус, либо сайт, если неизвестно что (писать в ЛС или аську сразу 566080827)

Если это тот вирь, о котором догадываюсь, сменить пароли на фтп, искать вири на компьютере.

За очисткой обратиться к специалистами, к примеру ко мне.

UPD, да, знакомый друг, этот только к специалистам

Тотал коммандер выпилить, скачать с оффиц сайта

Ну так антивирусные компании же каждому вирусу собственное название присваивают. То есть один и тот же вирь у разных антивирусов может называться по разному.

Ну так да, код всегда разный, начинается с

Повторяется всегда Array.prototype.slice.call(arguments).join по этому выражению можно искать, если не уверены, что все файлы почистили.

Ага, уже и минусанули анонимно, спасибо

Вот вам плюс

Только что в новостной ленте сегодняшней про этот вирус прочитал. http://www.ferra.ru/ru/soft/news/2012/04/05/blocking-java/

Я как раз на днях отложил назойливое обновление явы :(

UPD. И на макбук пришло обновление Java. "Java для OS X 2012-001 обеспечивает повышение совместимости, безопасности и надежности путем обновления Java SE 6 до версии 1.6.0_31."

infin1ty, запускаясь в браузере, данный яваскрипт начинает стягивать эксплойт со стороннего сайта. Заметно по статусбару, там пишет типа "ожидается ответ от XXXXXXXXXXX.com"

Ко всем пострадавшим от массового заражения js файлов:

Если у вас есть навыки работы в

unixshell, и ваш тарифный план позволяет подключиться к unixshell, то

данный вирус можно очень быстро удалить из всех js файлов:

> find . -type f -name "*.js" | xargs -n 1 sed -i.bak 's/^var.*Array.prototype.slice.call.*arguments.*join.*try{throw.*//g'

> find . -type f -name "*.bak" -delete

Первой командой мы ищем файлы js, список файлов пропускаем через

строчный редактор sed, который удаляет строку с вирусом по заданному

куску кода, характерному для этого вируса.

Второй командой мы удаляем резервные копии js файлов, образовавшиеся в

результате работы редактора sed.

Не забудьте поменять пароли к ftp и проверить компьютеры, с которых велась работа с этими ftp логинами, на вирусы!