Как удалить вирус Troj/JSRedir-MN (по данным компании Sophos)? Удаляем вирус своими руками с сайта Wordpress

Как удалить вирус Troj/JSRedir-MN (по данным компании Sophos)?

22.11.2013 Распечатать

Итак мы продолжаем разбирать случаи заражения сайтов вирусами и собственно удалять вирусы с сайтов.

Что было в предыдущих статьях:

Как удалить вирус JS:Redirector-MR [Trj] с сайта WordPress?

Как удалить вирус редирект с сайта для мобильного устройства

Как убрать вирус: Сайт может угрожать безопасности вашего компьютера или мобильного устройства?

Как удалить вирус Troj/JSRedir-MH с сайта?

 

Сегодня же мы поговорим о модификации вируса, рассмотренного в предыдущей статье — вирусе Troj/JSRedir-MN (по данным компании Sophos).

Данный вирус был обнаружен на сайте с CMS WordPress

Обнаружение

Как обычно, чаще всего мы узнаем о вирусах из Яндекс.Вебмастера. Вот что он нам сообщает:

Без-имени-1

 

Вредоносный код:

содержит Troj/JSRedir-MN (по данным компании Sophos)

 

Поиск вируса на сайте

Вирус начинаем искать на сайте, путем просмотра всех используемых javascript — как и в прошлой версии данного вируса. Для этого лучше всего использовать плагин аналог FireBug. Для этого загружаем страницу сайта, далее кликаем ПКМ и выбираем пункт «Просмотр кода элемента».

Затем переходим во вкладку «Resources»->»Frames»->»Site.ru»->»Scripts».

Далее начинаем вручную просматривать все файлы на наличие подозрительных вставок. Чаще всего вставки бывают в начале или в конце файла.

После произведения данной операции под подозрение попал файл jquery.helper.js с некой вставкой:

Без-имени-2

На 13-й строчке вы можете видеть вредоносную вставку, которая ссылается на jameel.js

Далее начинаем распутывать всю цепочку.

Удаление вируса с сайта

1) Заходим на ftp и находим данный файл jameel.js.

Без-имени-0

В нем мы обнаруживаем зашифрованную ссылку на зараженный .swf  с названием rosemarie.swf. Если его открыть, то мы видим что файл прогнали через криптор — программу, которая шифрует содержимое файла, чтобы его нельзя было так легко прочесть.

Без-имени-4Также  нужно обращать внимание на даты создания файлов, файлы вируса имеют свежую дату создания. И если же в это время вы на свой ftp  ничего не заливали, соответственно с большой вероятностью эти файлы являются зараженными.

Без-имени-3

2) Удаляем файл jameel.js

3) Находим и удаляем rosemarie.swf

4) Далее заходим в исходный файл jquery.helper.js и удаляем из него 13-ю строчку

Без-имени-5

5) После всего этого можно отправлять сайт на повторную проверку в Яндекс.Вебмастер, а также на прочие онлайн-проверки на вирусы:

Без-имени-6

6) Как вы видите вирус удален. Яндекс обновит информацию во время ближайшего захода робота. Почему вирус был на сайте? Есть несколько вариантов его появления:

  • шаблон сайта был изначально заражен,
  • у вас старая версия движка или если даже не старая, то уязвимая
  • у вас украли доступы к хостингу

7) Рекомендации после удаления вируса:

  • Просканируйте сайт на наличие вредоносного кода и почистите его.
  • Обновите движок WordPress
  • Установите плагины для защиты от вирусов
  • Смените пароль от FTP и MYSQL
  • Просканируйте свой компьютер на вирусы

Успехов!

0

Интернет Компьютеры , , ,

Еще по теме