удаление вируса MW:SPAM:SEO

выглядит он так:

<script language="JavaScript">
function dnnViewState()
{
var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','778787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a];
t=z='';
...
}dnnViewState();
</script>

или в шифрованном виде

<script language="JavaScript">
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('9 8(){e a=0,m,6,t,5,3=c g(\'i\',\'k\',\'o\',\'b\'),l=3.7;f(++a<=l){m=3[l-a];t=5=\'\';d(6=0;6<m.7;){t+=m.j(6++);h(t.7==2)
...
split('|'),0,{}))
</script>

* — по соображениям безопасности часть скрипта удалена
Скрипт перебирает элементы массива, расшифровывает их и вставляет в страницу строку с css стилем прячущим ссылку от посетителей.

Элементы массива перебираются с конца. Затем считывается по 2 символа текущего элемента массива, приводятся к int. Потом с этим значением проводятся нехитрые манипуляции parseInt(t) + 25 — l + a, где l -число элементов массива, а — счетчик дешифруемого элемента массива. В итоге получатся char номер символа в таблице символов, который и записывается в промежуточную переменную z. Достигнув конца элемента массива скрипт заменяет его дешифрованной версией (хранится в z). А затем собирает итоговую строку и внедряет ее в страницу.

Вирус характерен для бесплатных шаблонов wordpress, скаченных не из официального репозитория.
Для удаления скачайте используемый шаблон на локальный компьютер и ищите вставку по вхождению dnnViewState TotalCommander’ом. Обычно расположена в файле functions.php шаблона.

2 комментария

Аватар

winner_by_a_life on 22.08.2014 at 16:23.

Спасибо, статья помогла, хотя может это и миллионная копия оригинала. Подцепил эту гадость шаблоном AutsonSlideShow для Joomla. Жаль, в статье не написано, как вообще это получается…

Ответить

kgtu5

kgtu5 on 26.08.2014 at 08:38.

Winner_by_a_life шаблон делали на заказ или с сайта бесплатных шаблонов скачали?

Ответить

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.