Author Topic: JS: Redirector PB ???? (Read 5779 times)

migroup · « **on:** February 26, 2012, 09:06:50 AM »

День добрый,
обнаружил заражение сайта, а именно системы его управления
От Аваста кроме срабатывания защиты никаких пояснений не нашел...
Подскажите что за зверь? Как бороться?

С надеждой, Александр

bagrat · « **Reply #1 on:** February 26, 2012, 09:09:22 AM »

пройдитесь по http://www.avast.com/ru-ru/contact-form.php?loadStyles

в графе предмет\тема выберите нужное
желательно писать на английском

выложите здесь ссылку только без www и http
например :
_www. avast.com или avast.com
бывает так , что у одного пользователя ругается , а у остальных нет, вывод проблема в пк пользователя

1)пройдитесь по https://www.virustotal.com/
2)в графе кликните на (выделенный красный цвет) You may prefer to scan a URL или search through the VirusTotal dataset
3)введите предполагаемую инфицированную ссылку
4) нажмите на scan it

REDACTED · « **Reply #2 on:** February 26, 2012, 09:26:05 AM »

Quote from: migroup on February 26, 2012, 09:06:50 AM

День добрый,
обнаружил заражение сайта, а именно системы его управления
От Аваста кроме срабатывания защиты никаких пояснений не нашел...
Подскажите что за зверь? Как бороться?

С надеждой, Александр

Могли бы вы показать скрин, когда Аваст выдает что сайт заражен?

Судя по детекту запись была добавлена в базу вчера (это скрипт который перенаправляет на вредоносный сайт, ресурс..тд )

И как происходит оповещение? Когда вы заходите на какой то конкретный сайт? или?

migroup · « **Reply #3 on:** February 26, 2012, 10:36:49 AM »

VirusTotal показал все чисто, кроме TrendMicro Malicious site и усе

bagrat · « **Reply #4 on:** February 26, 2012, 10:45:43 AM »

по скрину Dim@rik видно , что сайт добавлен в нежелательные -заражение троянчиком
лаборатория понаблюдает за сайтом , возможно его вернут в надежные после работы над ним

REDACTED · « **Reply #5 on:** February 26, 2012, 12:25:29 PM »

Quote from: migroup on February 26, 2012, 10:36:49 AM

VirusTotal показал все чисто, кроме TrendMicro Malicious site и усе

Укажите пожалуйста сайт или скрин, на что Аваст выдает этот детект - JS:Redirector-PB [Trj].

Ссылку сделайте вида hХХp://forum.avast.com/index.php, что бы нельзя было нажать и перейти.

А так это все гадание на кофейной гуще...скорее всего страница заражена (внедрен скрипт).

JS:Redirector · « **Reply #6 on:** February 26, 2012, 04:40:04 PM »

Зарегистрировался на форуме в надежде дать небольшую подсказку. Сам часто мучаюсь из-за безответственности офисных сотрудников, сливающих пароли раз за разом (уничтожьте Total Commander

).

Сегодня Avast заругался на JS:Redirector-PB (иногда показывает URL:Mal, объект activatedreplacing.is-very-evil.org) на одном из наших сайтов.

Судя по всему, заражение произошло из-за "утечки" пароля. Удаленный сервер автоматически внедряет обфусцированный javascript во все файлы с расширением .js (2-3 строчки, содержание их варьируется из файла в файл).
Расшифровывать не умею и JS не знаю, поэтому действие этого кода остается для меня загадкой.

Если js-файлов у вас сотни (как в моем случае) и будете удалять автозаменой (perl/ced), то учитывайте, что строки варьируются, поэтому прежде лучше собрать все образцы.
Из-за нерабочего автобэкапа потерял половину дня! Делайте бэкапы, не создавайте себе лишнюю работу.

REDACTED · « **Reply #7 on:** February 26, 2012, 05:28:42 PM »

Quote from: JS:Redirector on February 26, 2012, 04:40:04 PM

Зарегистрировался на форуме в надежде дать небольшую подсказку. Сам часто мучаюсь из-за безответственности офисных сотрудников, сливающих пароли раз за разом (уничтожьте Total Commander ).

Сегодня Avast заругался на JS:Redirector-PB (иногда показывает URL:Mal, объект activatedreplacing.is-very-evil.org) на одном из наших сайтов.

Судя по всему, заражение произошло из-за "утечки" пароля. Удаленный сервер автоматически внедряет обфусцированный javascript во все файлы с расширением .js (2-3 строчки, содержание их варьируется из файла в файл).
Расшифровывать не умею и JS не знаю, поэтому действие этого кода остается для меня загадкой.

Если js-файлов у вас сотни (как в моем случае) и будете удалять автозаменой (perl/ced), то учитывайте, что строки варьируются, поэтому прежде лучше собрать все образцы.
Из-за нерабочего автобэкапа потерял половину дня! Делайте бэкапы, не создавайте себе лишнюю работу.

В обфусцированном javascript и происходит редирект на ( activatedreplacing.is-very-evil.org )

https://www.virustotal.com/url/2a5617c34714a53d4997e7c3df9b7e84359d94cfa9873800f7e4c084e37c0673/analysis/1330272935/

http://sitecheck.sucuri.net/results/activatedreplacing.is-very-evil.org

http://urlquery.net/report.php?id=25350 - Suspicious

JS:Redirector · « **Reply #8 on:** February 27, 2012, 01:50:29 PM »

Я понимаю, что перенаправляет туда, но любопытно что за этим следует. Дальше копать мне откровенно лень, поэтому время тратить не буду.

Для "чистки" сайта от JS:Redirector-PB есть три метода:

1. Если мало .js файлов, то ручная чистка. См. в самом низу файла, строки без переносов, начинаются с указания одной из 6 переменных ("хвост" у них у всех соответствует первым переменным): var de698ec=""; var l6b7da2f=""; var mfec8aa=""; var t0a75211=""; var cfd4324=""; var y3ecb3="";
2. Автозамена с помощью sed или perl если нет backup'а, а файлов много.
Пример простого perl-скрипта (нужно подставить содержание строк, указать путь до папки): perl -p -i -e 's/oldstring/newstring/g' `find ./ -name *.js`
3. Backup .js файлов из копии без заражения (капитан очевидность передает привет писателю и всем читателям).

Author Topic: JS: Redirector PB ???? (Read 5779 times)

migroup

JS: Redirector PB ????

bagrat

Re: JS: Redirector PB ????

REDACTED

Re: JS: Redirector PB ????

migroup

Re: JS: Redirector PB ????

bagrat

Re: JS: Redirector PB ????

REDACTED

Re: JS: Redirector PB ????

JS:Redirector

Re: JS: Redirector PB ????

REDACTED

Re: JS: Redirector PB ????

JS:Redirector

Re: JS: Redirector PB ????