Вирусня…

Сегодня закончил чистить свои сайты от очередной гадости которая появилась на страничках без моей воли.  Проникла эта дрянь на сайты 26 апреля, выглядела она вот так вот:

После расшифровки оказалось что это “красота”  имеет вот такой вид:

Вставляется в файлы:  index, menu, header, top  расширение я так понял не важно, т.к. были инфицированны как файлы с расширением php так и html.  Не исключаю возможности что и в файлы с другими именами вставляется, но я других не обнаружил.

Работает вирус как мне кажется по схеме: забираемся на кампутер -> воруем данные от фтп -> меняем файлы на фтп.
Хотя и не исключен вариант когда данные от фтп отсылаются куда то, но если бы данный вирь писал я, то редактировал бы файлы с компа жертвы.

Собственно ничего страшного, кто то накручивает счетчик или заливает файл юзерам зашедшим на сайт. Прием не нов, года три назад я занимался такими же чистками вот только тогда сайтов было на сотню меньше.  После того случая я перестал использовать тотал коммандер как фтп клиент, последнее время юзал файлзилла, видимо он стал популярен, и из него тоже стали воровать данные от фтп.

Если у вас стали появляться такие вставки на сайтах рецепт тут только один — чистить в ручную сайты, менять пароли на фтп, проверять свой кампутер на наличие гадостей. К слову у меня стоит касперский лицензионный и он не пищал и не верещал как обычно делает при нахождении зловредного кода.

Все это заставило меня начать реализацию программки которую уже давно хотел написать, что то вроде чекера сайтов, что бы сама заходила проверяла список сайтов, на наличие не моей писанины. как доделаю обязательно выложу здесь ее.

слов — 281, знаков: с пробелами — 2281, без пробелов — 2001