Не ругайте сильно если вопрос бредовый, в борьбе со всякими зловредными программами пока новичок.
В одной из фирм которую я обслуживаю по компьютерам появились проблемы с вирусами, причем такие что винду можно полечить только подключая винт к другому компу, сама винда не грузилась даже в безопасном режиме. Оказалось что вирус находил только Касперский, нод и доктор веб его с успехом пропускали. Соответственно борясь за правое дело разослал его антивирусам которые не находят, чтоб находили. В последствии выяснилось что заражались они с собственного сайта. Так как обслуживаем мы их всего несколько недель, до сайта еще не успели добраться. Оказывается недавно их сайт взломали, и их веб хостер об этом предупредил и попросил поменять пароли на доступ к сайту, как они и сделали. Но сайт то остался заражен, пришлось мне с этим разбираться. Проверил все файлы сайта разными антивирусами, все молчат. Пришлось копаться глубже. Выяснил что на всех страничках добавлена строка которая собственно и загружает вирус(строка во вложении). Вобщем избавился от этой пакости, все ок. Теперь вот думаю стоит ли это рассылать по антивирусным компаниям, чтобы добавили в базы. Не зная толком классификации не пойму считается ли это вредоносным кодом, ведь там наверняка просто ссылка, помоему на crunet.info. Разъясните пожалуйста новичку.
Кстати потом проверил через virustotal, всетаки один антивирь нашел:
AntivirusVersionUpdateResult AhnLab-V32007.6.21.106.22.2007no virus foundAntiVir7.4.0.3406.24.2007no virus foundAuthentium4.93.806.22.2007no virus foundAvast4.7.997.006.24.2007no virus foundAVG7.5.0.47606.24.2007no virus foundBitDefender7.206.24.2007no virus foundCAT-QuickHeal9.0006.23.2007no virus foundClamAVdevel-2007041606.24.2007no virus foundDrWeb4.3306.24.2007no virus foundeSafe7.0.15.006.24.2007no virus foundeTrust-Vet30.8.373606.22.2007no virus foundEwido4.006.24.2007no virus foundFileAdvisor106.24.2007no virus foundFortinet2.91.0.006.24.2007no virus foundF-Prot4.3.2.4806.22.2007no virus foundF-Secure6.70.13030.006.24.2007no virus foundIkarusT3.1.1.806.24.2007no virus foundKaspersky4.0.2.2406.24.2007no virus foundMcAfee505906.22.2007no virus foundMicrosoft1.270106.23.2007no virus foundNOD32v2234906.23.2007no virus foundNorman5.80.0206.22.2007no virus foundPanda9.0.0.406.24.2007no virus foundSophos4.19.006.22.2007no virus foundSunbelt2.2.907.006.21.2007no virus foundSymantec1006.24.2007no virus foundTheHacker6.1.6.13706.22.2007no virus foundVBA323.12.0.206.23.2007no virus foundVirusBuster4.3.23:906.24.2007no virus foundWebwasher-Gateway6.0.106.22.2007Exploit.HTML.Shellcode.gen (suspicious)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как я понял, некто прописал в строки скрипта сайта ссылки на закачку вредоносного ПО, Если Вы исправили скрипт, то опасаться нечего, а вот о защите сайта от взлома надо бы задуматься. Ну а сами куски скрипта для звгрузки отправлять разработчикам - какой смысл?
Как я понял, некто прописал в строки скрипта сайта ссылки на закачку вредоносного ПО, Если Вы исправили скрипт, то опасаться нечего, а вот о защите сайта от взлома надо бы задуматься. Ну а сами куски скрипта для звгрузки отправлять разработчикам - какой смысл?
Hello.
No malicious software was found in the attached file.
Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Yampolsky Boris
Virus Analyst, Kaspersky Lab.
Чисто. AVIRA тоже согласна с вердиктом.
Опыт — это слово, которым люди называют свои ошибки.
Понятно, вот я значит правильно сомневался, просто подумал что строка на всех страничках одна и та же да еще и в каком-то зашифрованом виде. Да и автоматически наверно вставлялась, так как везде в одно и тоже место в конец body. Вот и подумал может зараза какая.
А по поводу смысла, смысл как раз есть, если бы эта строка была в базе антивируса, то он бы не молчал когода я файлы сайт на вирусы проверял, а если бы еще умел лечить, то было бы совсем круто, там всего то строчку удалить. А так я в ручную все страници просматривал, чтобы ничего не осталось.
Надо бы проверить компьютер вебмастера - не сидит ли там троян, ворующий пароли.
На компе веб мастера навряд ли, так как сайт не обновлялся очень давно, с пол года то будет наверное. А вот то что пароль какой нибудь троянец стырил, очень и очень вероятно, только не с компа веб мастера а кого нибудь из этой конторы. Так как когда я их обслуживать начал первым делом я их от вирусов чистил, так их там было полно. На всех машинах почти. А они в акаут на вебхосте заходили это точно, хотя бы для того чтобы счета выписывать. А от туда и пароль на ФТП легко поменять. Хотя я могу только догадываться что до меня было. Сейчас пытаюсь в меру своих сил все в порядок приводить.