Robal
Robal opisany w poprzednim wpisie, jak się okazało, poczynił dość poważne spustoszenia. Wiele witryn zostało nim zainfekowanych a gdy już zassał właściwy kod na dysk (co mnie niestety nie minęło) robił mniej więcej takie rzeczy:
- przekierowywał na witryny zainfekowane, pomimo wpisania poprawnego url w pasek przeglądarki
- przekierowywał na zainfekowane witryny po kliknięciu w linki wyszukane przez google (co dziwne, gdy zajrzałem w źródło „google” był tam złośliwy kod, więc prawdopodobnie wyświetlał mi jakiś fake a nie właściwą stronę)
- nie pozwolił odpalić żadnego skanera on-line, a jeśli pozwolił, to skaner wieszał się
- zauważyłem problemy z wyświetlaniem plików z youtube
- spowodował zwisy systemu po starcie – system wisiał, natomiast dysk pracował na najwyższych obrotach
- utrudniał lub uniemożliwiał aktualizację antywirusów
Kodu należy szukać w plikach index. Podobno też często są modyfikowane .htaccess – ja nie zauważyłem modyfikacji. Niektórzy twierdzą, że dostaje się na serwery przez ftp – nie mogę tego potwierdzić, ponieważ spotkałem się z infekcją na różnych serwerach, z różnymi hasłami i różnych ludzi – choć możliwe, że to był zbieg okoliczności i faktycznie każdemu z nas skradziono hasła.
Kolejnym poważnym problemem jest to, że jedynie Kaspersky (tylko o nim do tej pory wiem) nie dopuszcza do otwarcia zainfekowanej witryny. Skanowanie zainfekowanego pliku AVG, Avirą, MKS nie dało rezultatów.
Podobne wpisy:
- Conficker – a jednak zaatakował Jak podają specjalistyczne media, wirus, który miał zaatakować dzisiaj rzeczywiście...
- Usuwanie ostrzeżenia z wyników wyszukiwania Google Bardzo wiele osób jest zaskoczonych, że w wynikach wyszukiwania pojawia...
- Uwaga na robaka w pliku googlebot.php Wcześniej kilkukrotnie pisałem o robaku atakującym strony www i powodującym...
- Awans Dziś zauważyłem, że moja aktywność na forum pomocy Google została...
- Poważny bug w GG Dane o wykonywanych połączeniach z telefonów z kartą GaduAir można...
Tags: Robak