Вирус Troj/JSRedir-LR и его разновидности

Вторник, 14 Янв 2014 13:51
Posted in category Хакинг (hacking)
комментариев 13

Вирус Troj/JSRedir-LR и его разновидностиВсем привет!

Это первый пост, который я пишу в Новом году. Уже почти  прошли все новогодние праздники (ну, за исключением разве что Старого-Нового года) и уже можно снимать новогодние украшения с блога. Хотя это, как говорится, на любителя, вон некоторые только новогоднюю ёлку умудряются  в марте выкидываютsmile.

Но это дело вкуса, а сейчас я расскажу  о том, как бороться с вирусами на сайте, в частности с такими его разновидностями как, например, Troj/JSRedir-LR  по классификации антивирусной компании Sophos. Если Вы ещё не ничего не слышали про компанию Софос, и думаете, что это какой-то очередной новичок на рынке антивирусного ПО,  то глубоко ошибаетесь. Они на рынке уже довольно продолжительный период времени -  около 15 лет и именно их антивирусные базы использует компания «Яндекс» для сканирования страниц в сети Интернет.

Из help-а Яндекса:

«Как Яндекс узнал о заражении?

Яндекс проверяет страницы сайтов из поискового индекса. Для определения, присутствует ли на странице вредоносный код, используется технология нашего партнера компании Sophos».

А начинается всё с того, что Яндекс начинает выкидывать  страницы вашего сайта из индекса, хотя с точки зрения СЕО вы делали и делаете всё  абсолютно правильно. И дело тут даже не в том, что хостинг просто-напросто заблокировал поисковых ботов Яндекса, как создающих излишнюю нагрузку на хостинг, а далее вы получаете  письмо приблизительно такого содержания:

«Здравствуйте!

По данным поиска Яндекса, на Вашем сайте [название сайта] есть страницы, которые могут представлять угрозу для компьютеров посетителей. Поэтому в результатах поиска Яндекса ссылки на эти страницы помечаются как потенциально опасные.

Подробная информация о заражении Вашего сайта размещена на странице http://yandex.ru/infected?url=[название сайта]&l10n=ru .

Пожалуйста, удалите вредоносный код со страниц сайта. И после следующей проверки Яндекс уберёт из результатов поиска пометку о потенциальной опасности на Вашем сайте. Дополнительную информацию о поиске и удалении вредоносного кода Вы найдёте на странице http://help.yandex.ru/webmaster/?id=1059440#1059448.

Кроме того, мы рекомендуем Вам проверить сайт на наличие уязвимостей, которые могли привести к появлению на его страницах опасного содержимого. Советуем установить обновления системы управления сайтом и изменить пароли доступа администратора.

Для получения дополнительных данных о нарушении безопасности [название сайта], в том числе списка инфицированных страниц, зарегистрируйте сайт в Яндекс.Вебмастере (http://webmaster.yandex.ru). Через этот сервис также можно запросить перепроверку сайта сразу после удаления вредоносного кода с его страниц.

С уважением,

Команда безопасного поиска Яндекса

-----

Если это уведомление пришло к вам по ошибке, или Вы не хотите получать подобные сообщения на этот адрес по любой другой причине, перейдите по ссылке http://webmaster.yandex.ru/subscription.xml?action=unsubscribe&host= . Чтобы снова подписаться на рассылку - по ссылке http://webmaster.yandex.ru/subscription.xml?action=subscribe&host= .

Hi,

Some of the pages on your website may pose a threat to your visitor's computer security. The number of potentially harmful pages is 2.  You can view the details of our malware scan at http://yandex.com/infected?url=[название сайта]&l10n=en . To learn about how to find malicious code and delete it from your pages, please go to the help section http://help.yandex.com/webmaster/?id=1115235#1115243 of our free website management service Yandex.Webmaster http://webmaster.yandex.com/.

Yandex is one of the world's leading search engines and a popular web portal (http://company.yandex.com/general_info/yandex_today.xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at http://company.yandex.com/technologies/antivirus_technology.xml.

This is an automated message to alert you about a problem detected on your website. This service free and does not require registration.

To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (http://webmaster.yandex.com).

Best regards,

Yandex Safe Search Team

If you are not the intended recipient of this message or if you do not wish to receive messages like this in the future, you can unsubscribe from our mailing list by clicking this link http://webmaster.yandex.com/subscription.xml?action=unsubscribe&host= . To subscribe to our mailing list again, click this link http://webmaster.yandex.com/subscription.xml?action=subscribe&host= .»

И вы понимаете, что над вашим кормильцем начинают сгущаться чёрные тучи. Что же делать в таком случае бедному вебмастеру, как избавиться от этой напасти в виде скриптовых редиректов, троянов и прочей напасти?

Последнее время я перелопатил  множество форумов и собрал большое количество информации по этому вопросу и сейчас представлю всю эту информацию в хронологическом порядке, отбирая, на мой взгляд, самое нужное и полезное.

Итак, подобные сообщения начали появляться в сети в начале прошлого года, весной, а не летом, как многие думают, хотя основная масса взломов пришлась именно на июль-август минувшего года. Однако подобные взломы появляются до сих пор с завидной регулярностью, поэтому, думаю, все сведения из статьи будут актуальны и сейчас.

(Почему так получилось? Читайте дальше и всё поймёте).

Вебмастера начали получать письма, текст которых я привёл чуть выше. При общении с Платонами, то бишь службой технической поддержки компании «Яндекс», они получали следующие ответы:

«Ваш сайт содержит Troj/JSRedir-LR (по данным компании Sophos). При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на (gettouch.biz, webservice1.net,  getpdainfo.com  и т. д.) при посещении сайта с мобильных устройств».

Соответственно на форумах как грибы после дождя стали появляться однотипные сообщения следующего содержания:

«Взломали сайт. В результатах поиска Яндекса мой сайт теперь с пометкой: Сайт может угрожать безопасности вашего компьютера или мобильного устройства»,  «Яндекс начал блокировать  сайт. Обнаружил вирус Troj/JSRedir-LR, по данным компании Sophos. Не один антивирус его не находит, посторонней рекламы и баннеров нет. Подозрительного тоже ничего не находит», «Взломали сайт, что делать?» Итак, что же делать?

[original:seo-semki.ru]

Модификации вируса Troj/JSRedir-LR

Вот модификации вируса, наиболее часто поражающие сайты веб-мастеров в этот период времени: Troj/JSRedir-MH, Troj/JSRedir-MN, Troj/ExpJS-JU, Troj/JSRedir-DM.

А вообще количество подобных вирусов впечатляет:

«Troj/JSRedir-AK

Troj/JSRedir-AR

Troj/JSRedir-AU

Troj/JSRedir-AZ

Troj/JSRedir-BB

Troj/JSRedir-BD

Troj/JSRedir-BP

Troj/JSRedir-DC

Troj/JSRedir-DL

Troj/JSRedir-DO

Troj/JSRedir-DP

Troj/JSRedir-DT

Troj/JSRedir-DС

Troj/JSRedir-EF

Troj/JSRedir-FV

Troj/JSRedir-GS

Troj/JSRedir-GW

Troj/JsRedir-HA

Troj/JSRedir-HB

Troj/JSRedir-HZ

Troj/JSRedir-LH

Troj/JSRedir-LR

Troj/JSRedir-MH

Troj/JSRedir-MN

Troj/JSRedir-O

Troj/JSRedir-R

Troj/JSRedir-S»

Полный список всех подобных вирусов вы можете самостоятельно посмотреть на http://help.yandex.ru/webmaster/security/verdicts.xml.

Вот как описывают эти  трояны в самой компании:

«Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). Особенностью данного заражения является то, что вредоносный код дописывается к одному из файлов, имеющих расширение .js на сайте. Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями. Пример вредоносного кода, по которому выносится вердикт:

Картинки кликабельны - кликайте для увеличения.

Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями».

Это описание вредоносного кода, по которому выносится вердикт Troj/JSRedir-LR, ссылка: http://help.yandex.ru/webmaster/security/verdicts.xml#h1128140.
А вот описание троянской программы Troj/JSRedir-MH:
«Данный вердикт означает, что на сайте присутствует вредоносный JavaScript-код, который загружает вредоносный swf-объект, производящий подгрузку эксплойтов посетителям сайта. Как правило, этот вредоносный код злоумышленники размещают в отдельном js-файле на взломанном сервере.

Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.

Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-модификация».

Далее идет пример вредоносного кода.
Надо заметить, что осенью прошлого года я сам столкнулся с подобным вирусом, тогда на сайте wordpress  «Яндекс» обнаружил вирус в плагине Flash Video Player. Плагин был включён, но не использовался.
В самый конец js-скрипта злоумышленники дописали такой код:

Код мы почистили, и больше он не появлялся. На аккаунте были и другие сайты, но они оказались нетронутыми. Поэтому мы решили, что дело в самом плагине видеопроигрывателя,  что злоумышленники просто  нашли в нём какую-то уязвимость, которую с успехом  использовали. Плагин просто-напросто отключили, так как он всё равно не использовался.

Кстати, на ачате я нашел такую инфу -http://forum.antichat.ru/showthread.php?t=342398, тема создана 16.07.12, из чего можно сделать вывод, что именно в то время хакер планировал использовать айфрейм подобным образом (помните, об этом я говорил в само начале?)

«Создать iframe посредством JavaScript

Есть простой код:

Можно ли его в javascript'e представить (мне нужно для последующей обфускации) и будет ли этот фрейм работать только в пределах

Вариант ответа:

Данный код, как вы видите, один в один! Только размеры фрейма указаны позже по 0 пикселей – «А чтоб никто не догадался».

Для справки:  тег