Рис.1. Общее количество  заражённых и вылеченных сайтов Troj/JSRedir-GS

Рис.2. Количество новых сайтов, на которых обнаружено заражение Troj/JSRedir-GS, в день

1. обновляйте CMS;
2. после установки CMS в обязательном порядке удаляйте с веб-сервера её конфигурационные скрипты;
3. обязательно изменяйте пароли, которые СУБД использует по умолчанию, используйте сложные пароли;
4. используйте Web Application Firewall, например http://www.modsecurity.org/.

Серверный вредоносный код злоумышленники всегда дописывают в конец файлов functions.php, которые используются в темах CMS WordPress.

Рис.3. Пример серверного вредоносного кода Troj/JSRedir-GS

Особенность Troj/JSRedir-GS в том, что клиентский вредоносный код выдаётся в веб-браузер, только если пользователь не авторизован в CMS и время на заражённом сервере на момент выполнения скрипта успешно делится на два. Эти два условия – первая ступень защиты вредоносного кода от обнаружения и удаления вебмастером. Потому что обычно вебмастер авторизован в CMS, а выполняющийся с перерывами скрипт обнаружить сложнее.

Вредоносный код, отображаемый на страницах заражённой CMS, обфусцирован (рисунок 4) и для анализа нуждается в деобфускации (рисунок 5).

Рис.4. Браузерный вредоносный код Troj/JSRedir-GS в обфусцированном виде

Рис.5. Браузерный вредоносный код Troj/JSRedir-GS после деобфускации

Эта проверка представляет собой вторую ступень защиты вредоносного кода от анализа: злоумышленники рассчитывают, что вебмастер или вирусный аналитик будет заходить на сайт напрямую, а не через поисковую систему.

Если подстрока найдена, пользователь перенаправляется на страницу h**p://googosearch.biz/search.php?ty=1&terms=<keyword>, где <keyword> — это ключевое слово, полученное в результате перехода на заражённый сайт с поисковой выдачи.

Ссылки с googosearch.biz, скорее всего, ведут на сайты, предлагающие установить программное обеспечение. Цели для перенаправления выбираются в зависимости от ключевых слов, по которым пришёл пользователь.