今日まで、感染した.jsファイルのあるサイトを処理する必要がありました。このファイルでは、ファイルの最後に悪意のあるコードが挿入され、署名によって簡単に駆除できます。
クリーニングのサンプルプログラム 。
しかし、ウイルス作成者はそこで止まらず、新しい感染方法を開発しています。
それらの1つについて説明します。
- ウイルスはサイトにftpを入力します
- コードの最後にその部分を追加します
- 難読化ツールでファイル全体を暗号化して保存します。
- 2週間または1か月待機し、iframeにトロイの木馬が表示されます。
多くの場合、バックアップシステムは1週間ファイルを保存するように構成されているため、ウイルス対策プログラムがサイトで宣誓を開始すると、バックアップ時にすべてのファイルもウイルスと共に保存されます。
この場合、感染したファイルをデコードし、悪意のあるコードから有用なコードを分離する必要があります。
これを行うには、window.evalをdocument.writeに置き換え、textareaに内容を表示しました。
<html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8" /> </head> <body> <script> document.write('<textarea>'); function kzLIfOuzteVbhCEe(a)... document.write(kzLIfOuzteVbhCEe("..."); document.write('</textarea>'); </script> </body> </html>
大量感染はなかったため、手動でサイトを修復しました。