Trojan Attack: JS:Illredir [Trj]

Viernes, 29 enero 2010 by Matt ~

Ayudando a un amigo que se estaba volviendo loco por unos ataques randomizados a su sitio me topé con este muchacho, el Troyano JS:Illredir-B, quién logré identificar después de buscar a mano, sin acceso ssh y con ayuda del Firebug.

El troyano infecta todos los ficheros a su alcance, agregándoles código JavaScript obfuscado generado de manera aleatoria en la parte superior ó posterior de cada archivo. Los scripts muestran al usuario un sitio embebido que no es el del domain original, simulando un redirect, entre otras cosas.

El posteo más actual y el tool que recomendé a este amigo mío lo pueden mirar en ZyenWeb.

Link al post en ZyenWeb
Tool: Remover JS:Illredir-B/C/D/E

Tags: ,

Comentar este posteo, o dejar un trackback desde tu propio sitio.

7 Responses to “Trojan Attack: JS:Illredir [Trj]”

  1. Hector writes:
    No. 1 — enero 29th, 2010 at 20:27

    Te lo agradezco públicamente ahora :D

    Sos un groso!!! :D

  2. Nekko writes:
    No. 2 — enero 29th, 2010 at 20:45

    @Maty sos un groso pendex!
    @Hector eso nos pasa por alojar porno en el servidor del cliente…

  3. uberVU - social comments writes:
    No. 3 — febrero 3rd, 2010 at 19:32

    Social comments and analytics for this post…

    This post was mentioned on Twitter by mfsecblog: Trojan Attack: JS:Illredir [Trj] -> http://bit.ly/bRiRf8...

  4. zSoilworker writes:
    No. 4 — febrero 8th, 2010 at 21:14

    Interesante el artículo, ayer mismo me vi involucrado en el tema cuando un usuario me preguntó porque cierto código era inyectado en sus html. el código lo pueden tomar “encriptado” desde el siguiente paste: http://zombielicious.pastebin.com/m203c4611
    Es en teoría muy interesa y divertido para investigarlo a fondo, yo inmediatamente sugerí que al subir archivos los haga en modo sólo escritura, lo cual era la solución raw para el problema. El usuario tenía alojada su web en Sion, por lo cual espero tener mas noticias del asunto.

  5. OLM writes:
    No. 5 — abril 8th, 2010 at 18:26

    jsillredir-AQ yo no puede resolver el error inserte el script que publicaste en el servidor y no soluciono el problema. Cualquier ayuda la agradezco mucho.

  6. zugatz writes:
    No. 6 — abril 21st, 2010 at 05:48

    hola, estoy sufriendo la variante JS:Illredir-S , veo que no solo el blog se ha ido al garte, sino que el internet explorer llama en la supuesta carpeta de temporales ya vacia en teoria a varios ficheros que segun gdata estan infectados, necesito ayuda, donde pongo el php de la vacuna gracias.

    mi email es zugatz-getxo@hotmail.com, este trojano me supera, ayer logre eliminarlo , pero hoy por la mañana ya esta de nuevo en el blog

  7. DracoX3 writes:
    No. 7 — mayo 19th, 2010 at 16:38

    el troyano afecto a los archivos index.* default.* y archiovs de la extencion *.js. los ataques afecta a los servidores gnu/linux windows… wft?
    para sacar el virus hay que ingresar a cada uno de los arch infectados o intentar lo que proponen http://forum.avast.com/index.php?topic=52476.0

Leave a Reply

 

«
»