IFRAME Virusu

August 18, 2009

Son günlər əksər website sahiblərini təngə gətirmiş bir virusdur.  Bir neçə gün əvvəl çox yersiz bir vaxtda bu virus mənim də bəzi saytlarıma düşdü. Amma artıq olan olmuşdu, virusu temizləmək lazım idi. Bəs bu virus nədir, necə düşür, nələr edir, necə qorunmaq olar kimi suallara çalışacam cavab verim.

Bu virus necə düşür?
Yox! hosting aldığınız şirkətin heçbir günahı yoxdur. Virus sizin kompüterinizdədir.
Siz bu virusa yoluxmuş hərhansi bir saytı açanda (böyük ehtimal IE ilə) iframe-də olan link də yüklənməyə başlayır və özü ilə troyanı sizin kompüterinizə yükləyir. Əksər anti-viruslar bu virusu görmür, çünki sayt daxilində olan iframe-də yüklənən linki yoxlanışdan keçirmirlər. Bəzi anti-viruslar isə xəbərdaqlıq mesajı çıxarırlar amma block etmirlər.

Bu virus nə edir?
Virus kompüterinizdə saxlanılmış bütün FTP hesablarını tapır və ora gizli qoşularaq  saytınızda olan bütün faylları və qovluqları gəzir və index, main, home, default sözləri ilə başlayan bütün faylların içinə əlavə bir sətir yazır. Bu sətir <iframe src=’bashqa bir viruslu site”></iframe> kimi olur. Virus bu sətri bir qayda olaraq <body> tagından sonra yazmağa çalışır amma əgər faylda <body> tagı tapmırsa o zaman sətir faylın sonuna əlavə edilir. Onuda deyim ki, sətri əlavə etdiyi yerde olan yazılar silinir. Deməli əgər o sətirdə hərhansı bir html, php vəya başqa bir kod var idise o silindi və yerinə bu iframeli sətir əlavə edildi. Bundan sonra sizin sayta girən hər adamın kompüteri eyni virusla yoluxacaq və eyni proses onlardada başlayacaq.

Necə qorunmaq olar?
İlk növbədə yaxşı anti-virus işlədin. Mən nod32 qurmuşdum amma görünür bu virusu görə bilmir.  McAffee vəya TrendMicro-nu dənəyin. Yaxşı olar ki,  FTP şifrələrinizi ftp-clientinizin yaddaşında saxlamayasınız. Bu yolla virus sizə düşsə belə qoşulmağa ftp tapa bilməyəcək.

Artıq virusa yoluxmusunuzsa o zaman ilk növbədə bütün browserlərinizi bağlayın.  Sonra “Temporary Internet Files”-i təmizləyin.  Internetdən reytinqi yüksək hərhansı bir Virus/Trojan scanneri köçürün və kompüterinizi yoxlayın. Mən IObit Security 360 istifadə etdim. Virus əsasən Adobe Acrobat Reader qovluğunda gizlənir. Daha dəqiq desək AcroIEHelper.dll faylında. Ona görə С:\Program Files\Adobe\Acrobat[versiya]\Reader\ActiveX\AcroIEHelper.dll faylını tapın və silin. Bunu yəqin sizin scanner ozü siləcək amma scanner silməsə belə əl ilə mütləq silin. Sonra isə bütün ftp şifrələrinizi mütləq dəyişin. Çünki virusu özünüzdən təmizləsəniz belə əgər şəbəkəyə qoşulusunuzsa və başqa kompüterdə də bu virus varsa o zaman yenə sizin saytlara zədə dəyə bilər.
Bütün bunları etdikdən sonra kompüterinizi restart edin. Əgər virus hələdə oradadırsa o zaman üzr istəyirəm amma format etməlisiniz.

Saytdakı zədəli faylları necə təmizləyim?

Başda onu deyim ki yaxşı olar ki bütün fayllarınızı vaxt aşırı backup edin. Yuxarida qeyd etdiyim kimi virus saytda index, main, home, default ilə başlayan bütün faylların içinə iframe salır. Ona görə belə faylları tapıb hamısını backupızındaki fayllarla əvəz edin. Əgər backup yoxdursa o zaman saytdakı faylı açib içindən iframi silin. Bu faylların yerini dəqiq bilirsinizsə o zaman bir bir açib içini təmizləyin. Əgər saytınızda həddindən çox fayl və qovluq varsa o zaman biraz çətinlik çəkə bilərsiniz amma bu scripti sizə kömək üçün yazıram.

<?
function findFiles($dirname)
{
	if (is_dir($dirname))
		$dir_handle = @opendir($dirname);
	if (!$dir_handle)
		return false;
	while ($file = readdir($dir_handle))
	{
		if ($file != "." && $file != "..") {

			if (!is_dir($dirname."/".$file))
			{
				if (preg_match("/index|main|home|default/i",$file))
				{
					$indexFile = $dirname."/".$file;
					echo "Baxilacaq fayl: ".$indexFile."<br />";
				}
			}
			else
			{
				findFiles($dirname."/".$file);
			}

		}
	}

	closedir($dir_handle);
	return true;
}

//istifade qaydasi
findFiles("projects\kataloq");

?>

Saytınız iframe virusuna yoluxubsa google sizin saytı indexləyərkən təhlükəli saytlar siyahısına əlavə edir.  İstifadəçilər sayta girən zaman bu saytın təhlükəli ola biləcəyi barədə xəbərdarlıq alır. Saytınızı bu siyahıdan necə çıxarmaq haqqında buradan oxuya bilərsiniz.

No virus, No cry!

Filed under: AzNET, Ordan-burdan

Tags: ,

6 Comments Leave a Comment

  • 1. Alor  |  September 28, 2009 at 16:16

    Salam, Amid maragli melumat uchun chox sagol :) bildiyin kimi men hosting satishi ile meshgulam bu cur problemler mushterilerimin bashina chox gelib.

  • 2. Elvin 358  |  September 28, 2009 at 17:08

    Eshq olsun 2002-2006, BDU TR&K telebeleine :)

  • 3. Xeberler.az`dakı problem&hellip  |  November 12, 2009 at 16:29

    [...] olunmayan, sınaqlar üçün açılmış bir folderinin index.php`sində keçmişdən qalma iframe virusu qalıbmış. Verdiyim linkdən+ həmin iframe haqqında ətraflı  oxuya bilərsiniz. [...]

  • 4. Windows-az_Tural  |  November 13, 2009 at 18:06

    Məndə əvvələr belə hallar olurdu. İnternetdə olarkən Adobe Acrobatın .exe faylı işə düşürdü. və kompüter bir neçə saniyə ərzində donurdu. Ona görə də ya tez həmin faylı bağlamalı idim ya da proqramı gərək silərdim. indi isə elə problemim yoxdu. Daha doğrusu formatdan sonra

  • 5. Turkel  |  November 26, 2009 at 11:47

    Əslində o qədər də narahat olmaq lazım deyil. Virus dediyiniz, “payload”dır və bizim kimi insanlar onlardan pul qazanır. Narahat olmamağınızın səbəbi Azərbaycan üçün affiliate sisteminin olmamasıdır, yəni azərbaycan istifacəçisinin kompyuterinə virus salmaq onlara lazım deyil. Virus reklamdır, homepage-i dəyişir, sizi nəsə alaağa məcbur edir amma Azərbayca istifadəçisi internetdən heçnə almır. Onlara USA kimi kompyuterlər lazımdır reklam etdikləri proqramları viktimlər (virusun qurbanları) alsınlar. Amma, bəzi siyasi, dini viruslar Azərbaycan üçün də işləyir, adi viruslar da kompyuterin yalnız homepage-ini dəyişir.

  • 6. Elshan  |  February 27, 2010 at 16:23

    Salam. MEnim komp-me de iframe virusu dushmushdu… Men kompa format verdim. Formatdan once iframe yazilan papka achilmirdi.Evvelce elebildim gizledimish fayllarda olur chunki hemin papka gizledilmish veziyetde idi. Papkani svoystvadan bir teher deyishdim ve daxil ola bildim. Bezi fayllari sildim qalanlarina daxil ola bilmedim. Format verdikden sora umumiyyetle daxil ola bilmedim papkalara ve silinmir papkalar. Svoystvada 0 bayt gosterir hecmini ama scan verende tam olaraq ichindekileri scan edir.

    Birde, virus dushenden sonra menim butun shekillerim ve e-fillerim silinmishdi, onlari geri qaytardim ama qaytardigim bezi fayllar achilmadi, hecmi ise yerinde qalir.

    Eyer melumatiniz varsa bununla bagli mene melumat vermenizi isterdim.

    Teshekkurler,

    hormetle,
    Elshen

Leave a Comment

(required)

(required), (Hidden)

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

TrackBack URL  |  RSS feed for comments on this post.

Bölmələr

Arxiv

Links

Tags

Social me