Открытка компании: SeoNews.ru заражены вирусом

смак! # HEAD http://www.seonews.ru/ 200 OK Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Connection: close Date: Sun, 21 Feb 2010 16:36:33 GMT Pragma: no-cache Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 Content-Type: text/html; charset=windows-1251 Expires: Thu, 19 Nov 1981 08:52:00 GMT Last-Modified: Sun, 21 Feb 2010 16:36:33 GMT Client-Date: Sun, 21 Feb 2010 16:36:34 GMT Client-Peer: 94.77.75.10:80 Client-Response-Num: 1 P3P: policyref=»/bitrix/p3p.xml», CP=»NON DSP COR CUR ADM DEV PSA PSD OUR UNR BUS UNI COM NAV INT DEM STA» Set-Cookie: PHPSESSID=a972be3540f5a1af37c203e58bbc8465; path=/ X-Powered-By: PHP/5.2.0-8+etch13 X-Powered-CMS: Bitrix Site Manager (5bb069a70f565a72fb26c8083692e264)

Эта зараза сейчас прогрессирует. Причем достаточно получить инекцию на момент нахождения поискового робота — и всё, «клеймо» будет висеть до следующей индексации :(

В запрашиваемом объекте по URL-адресу: http://www.seonews.ru/ Обнаружена угроза: объект заражен HEUR:Trojan.Script.Iframer Сообщение создано: 11:35:28 Антивирус Касперского 2010

Там в коде script в виде char закодированный висит до сих пор.

Битрикс-с!

HitMan, и что? Этот скрипт вставляет следующие строки: Касперскому привет :)

iframe src=»http://www.sape.ru/index.php?set_refid=foxbzJFhaE» width=»0″ height=»0″ frameborder=»0″ scrolling=»no»></iframe

Ну я больше ничего не вижу в коде подозрительного, если счетчик типа стат24 не взломали или еще кого из открыто явных в коде.

А значит, скорее всего, «Антивирус Касперского 2010» ошибся…

http://img-fotki.yandex.ru/get/3813/mihakuzmin.b/0_30be7_bf8f8816_XL — не каспер

А, может быть, не только каспер? ;) Покажите, пожалуйста, сам вредоносный код. Пока что видно только то, что совпала какая-то сигнатура…