Wirus na stronie

Kilka dni temu przeglądając zasoby katalogu DMOZ, trafiłem na zainfekowaną stronę, z wyjątkowo wrednym wirusem. Początkowo niczego nie zauważyłem i sądziłem, że skoro AVAST zablokował próbę infekcji, to wszystko jest OK.

Jednak na następny dzień zauważyłem coś niepokojącego na jednej z moich stron. Została do niej doklejona ramka IFRAME, która zawierała w sobie przekierowanie do wirusa. Zaniepokojony szybko rozpocząłem sprawdzać swoje kolejne strony, które zresztą też zostały zainfekowane tym samym złośliwym oprogramowaniem.

Wcześniej już czytałem o tego typach infekcjach i dokładnie wiedziałem, że zostały mi wykradzione loginy i hasła do FTP, z menagera Total Commander. Pozmieniałem więc hasła i nie zapamiętywałem ich w menagerze plików TC. Usunąłem szkodliwe ramki ze stron i stwierdziłem, że wszystko powinno być już w porządku.

Na następny dzień, niestety ale infekcja się powtórzyła, więc ponownie usunąłem szkodliwe ramki z moich stron, pozmieniałem hasła do FTP i zmieniłem menagera plików FTP. Jednak na nic to się nie zdało, gdyż po zaledwie dwóch godzinach, znów na strony zostało doklejone IFRAME. Stwierdziłem więc, że wirus potrafi nie tylko wykradać hasła z plików menagerów FTP, ale także odczytywać te dane, które wpisujemy do programu.

Zmęczony dwudniową walką z wirusem, postanowiłem podjąć ostateczne działania, które usuną infekcję. Po usunięciu ramek, pozmieniałem hasła do paneli i FTP, nie logując się na nowe dane. Pobrałem sterowniki ze strony producenta i 30 dniową wersję Kaspersky Antiwirus. Sformatowałem partycję systemową i ponownie zainstalowałem windowsa. Po instalacji podstawowych sterowników, od razu przystąpiłem do zainstalowania Kasperskyego, jego aktualizacji i pełnego skanowania. Antywirus na pozostałych dyskach znalazł jeszcze trochę syfów.

Będąc pewien, że system Windows jest czysty, poszukałem jakiegoś klienta FTP, z którego obecnie korzystam.

To doświadczenie nauczyło mnie, aby pod żadnym pozorem nie zapamiętywać haseł w klientach FTP, a jedynym miejscem, w którym przechowywane powinny być hasła, jest kartka.

Niestety niektórych stron nie udało mi się naprawić, a mianowicie tych zbudowanych z wykorzystaniem PHP. Wirus doklejając ramkę, usunął część kodu PHP, a niestety nie pamiętałem co tam było wcześniej, gdyż nie posiadałem wszystkich kopii swoich stron.

Analizując działanie wirusa, zauważyłem że AVAST go rozpoznaje, jednak w momencie jego wykrycia, wirus jest tak sprytnie pomyślany, że potrafi wyłączać skaner rezydentny i dopiero wtedy infekować. W tym momencie nie jesteśmy w stanie zrobić nic, oprócz resetu komputera. Po restarcie wredne oprogramowanie dalej działa w tle, infekując strony.

Zatem jeśli już zauważysz, że Twój komputer został zainfekowany tym samym oprogramowaniem, czym prędzej usuwaj ramki, zmieniaj hasła i formatuj partycję systemową. Wszelkie inne działania będą tylko stratą czasu i nerwów.