удаление вируса Andr/FakeIns-AE, Andr/SMStan-A, Andr/SmsThief-A

Вашему сайту Яндекс поставил пометку:

Сайт *** может представлять угрозу
Что произошло
Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации.
Подробнее про вредоносный код

Яндекс периодически проверяет сайты, чтобы предупреждать пользователей об опасных страницах. Последняя проверка (менее двух дней назад) показала, что на сайте размещён вредоносный код. Это могло произойти как по желанию владельцев сайта, так и без их ведома — в результате действий злоумышленников.

Вредоносный код:
- обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;
- содержит exploit (по данным поведенческого анализатора Яндекса);
- содержит Andr/FakeIns-AE, Andr/SMStan-A, Andr/SmsThief-A (по данным компании Sophos).

вирус Andr/FakeIns-AE, Andr/SMStan-A, Andr/SmsThief-A

Яндекс-вебмастер показывает, что редирект идет на домены:

.bookokay. in
flupmob. ru
ebbylon22. org
freesoftok. pw
adtsda. org

Причиной данного вируса является следующий код, вставленный в один или несколько яваскриптов на сайте:

eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);
.......
b=\'+4}}',27,27,'indexOf||userAgent|navigator|expiresDate|document|if|cookie|fdgergdfg|iPod|Android|expires|BlackBerry|iPhone|http|flupmob|ru|var|iPad|new|Date|setTime|getTime|1209600000|yes|path|location'.split('|'),0,{}));

* — по соображениям безопасности часть кода удалена.
При расшифровке кода становится понятно, что спомощью него определяется user-agent браузера, с которого заходят на сайт и если это мобильный браузер, то происходит редирект на

if((navigator.userAgent.indexOf
.......
{document.location="flupmob. ru
.......
document.cookie='fdgergdfg=yes; path=/; expires='+expiresDate}}

где либо выводится реклама, либо происходит дальнейший редирект на один из доменов показанных выше, там аналогично может выводится реклама, либо начинается загрузка вирусного ПО.

Для снятия пометки ищите по всем яваскриптам на сайте данный код, удаляете и нажимаете в Яндекс-вебмастере кнопку «Перепроверка». Через 2-3 дня результат должен быть.

Причиной наличия данного кода как и в большинстве других случаев является скачивание шаблонов, модулей, плагинов с сайтов «бесплатностей».
Если вы нашли какой либо понравившийся модуль, зайдите на сайт разработчика, возможно модуль бесплатный и можно скачать более свежую версию (в котором, опять же !!!, может быть исправлена какая либо уязвимость). Ну а если нет — то на свой страх и риск, с возможностью получения аналогичных санкций со стороны поисковиков.

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.