Что за вирус JS:Includer-ZY [Trj] и как его убить?

[niktov]

Сегодня avast начал в Опере и Хроме ругать два сайта perly.ru и nmiz.ru. Сайты загружаются, сообщается о блокировке вируса:
«URL:   http://perly.ru/%7C%7Bgzip%7D
Процесс:   C:%5CProgram Files%5COpera%5Copera.exe
Инфекция:   JS:Includer-ZY [Trj]»
Тоже касательно и nmiz.ru
Сайты проверил визуально на сервере - ничего подозрительного не обнаружил, последние изменения в файлах были 10 дней назад. Другие антивирусы молчат.

Ну, вот... пока писал - уже и сайты блокируются полностью во всех броузерах.

[George Yves]

Судя по он-лайн сервисам с сайтами всё в порядке, если не считать, что на perly.ru устаревшее ПО: http://sitecheck.sucuri.net/results/perly.ru

Далее, судя по тексту сообщения Аваста, на сайтах он находит опасный джава-скрипт. Иногда такое случается если на сайте появляется рекламный баннер с таким скриптом или ссылка, ведущая к такому скрипту. Если Вы уверены в чистоте сайта, то можете отправить в Аваст сообщение о ложном срабатывании (ссылка на форму сообщения о ложном срабатывании здесь: http://forum.avast.com/index.php?topic=106737.msg848952#msg848952 ). Затем придётся немного подождать и периодически проверять доступ к сайтам, т.к. техподдержка обычно не сообщает о разблокировке.

[niktov]

Спасибо, George Yves, за совет. Пытался, что-нибудь выяснить про этот троян - совершенно ничего не нашел... чтобы вручную поискать код... пока не уверен в чистоте - неделю назад переустанавливал все на компе, так что мог подхватить заразу... пока писать не буду - попробую еще поискать... знать бы в каких файлах этот JS:Includer-ZY [Trj] прописываеся...

[afix]

Спасибо, George Yves, за совет. Пытался, что-нибудь выяснить про этот троян - совершенно ничего не нашел... чтобы вручную поискать код... пока не уверен в чистоте - неделю назад переустанавливал все на компе, так что мог подхватить заразу... пока писать не буду - попробую еще поискать... знать бы в каких файлах этот JS:Includer-ZY [Trj] прописываеся...

при чём тут Ваш комп? У нас тоже троян показывает.

[George Yves]

Ничего в интернете Вы не найдёте. Как я уже сказал, это не вирусная программа, которую можно найти, зарегистрировать и описать. Это джава-скрипт, т.е. инструкция для браузера как ему поступить при клике на ссылку или баннер. Такой скрипт можно написать за короткое время и даже не предполагать, что он опасный или зловредный. Например, кто-то решил под ссылкой разместить джава-скрипт, который регистрирует количество кликов, тип браузера, версию ОС и другую информацию для статистики. Вроде бы ничего опасного, но антивирус находит в скрипте элементы кода, типичные для работы троянской программы, и поэтому выдаёт сигнал тревоги, обрубая доступ ко всему сайту. Чтобы Аваст не воспринимал этот код как опасный, ему надо это указать в его вирусной базе, а для этого и надо отправить сообщение разработчикам Аваста, которые проверят код сайта и устранят ложное срабатывание.

[niktov]

afix, с компа все и началось, так что и искать начал с него.
George Yves, ну кое что нашел... главное понял принцип работы этой заразы по описаниям подобных кодов. Рисковать не хочется, а разбираться опасно или нет - я не специалист вирусолог.
Надеюсь, помогу тем, у кого появится подобный код.
1) Делаем копию сайта, переносим на локалку.
2) Смотрим корень сайта и если там имеется чужой system.php удаляем.
3) Начинаем поиск во всех файлах темы и удаляем содержимое в тегах <?#7d5575# ....... #/7d5575#?>. На WordPress этот код был всего в двух файлах - header и index, на DLE - практически во всех файлах.
4) Запускаем аваст и проверяем всю папку, если угроз нет - заливаем на сервер чистые файлы вместо зараженных.
Интересно, что дата изменения файлов стояла 26.06.2013 (именно в этот день я в последний раз пользовался FTP, автор изменений - пользователь FTP, т.е. я), а заработала эта фигня только сегодня.
Всем удачи!