Etikett: smitta

WordPress malware – visitorTracker_isMob

Jag l?ste h?r, http://securityaffairs.co/wordpress/40236/cyber-crime/wordpress-sites-serving-malware.html, att just nu smittas *m?nga* wordpressinstallationer av en smitta som kallas visitorTracker_isMob. L?s mer p? l?nken ovan f?r information.

Ett enkelt s?tt att kontrollera om du har f?tt din eller dina installationer smittade ?r att g?ra s? h?r

G? till katalogen d?r din/dina webbar finns installerade, hos mig skriver jag cd /var/www
Scanna alla filer efter str?ngen visitorTracker_isMob, hos mig skriver jag sudo grep -R visitorTracker_isMob *

Har du m?nga webbar kan det ta en stund d? kommandor g?r igenom *alla* filer och kollar om str?ngen visitorTracker_isMob finns. Det g?r s?kert att g?r det snabbare genom att byta ut * mot *.js (smittan g?mmer sig i javascriptfiler), men f?r att vara riktigt s?ker s? k?r jag *

 

Smitta i datorn

I g?r kv?ll r?kade jag ut f?r en liten smitta i min maskin, “Virusscan 2008”, eller en variant. Som vanligt n?r man f?rs?ker rensa en smittad maskin s? brukar man vara sp?rrad fr?n att starta registret.

Spara ner koden h?r nere som en .vbc fil och k?r den s? f?r du access till registret. Smittan ?r nu borta och jag har l?rt mig lite till, en sak jag l?rt mig ?r att inte riktigt lita p? virusprogram :-)  Det varnade inte alls.

’Enable/Disable Registry Editing tools
’© Doug Knox – rev 12/06/99

Option Explicit

’Declare variables
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "

’This section tries to read the registry key value. If not present an
’error is generated.  Normal error return should be 0 if value is
’present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number

if errnum <> 0 then
’Create the registry key value for DisableRegistryTools with value 0
    WSHShell.RegWrite p, 0, itemtype
End If

’If the key is present, or was created, it is toggled
’Confirmations can be disabled by commenting out
’the two MyBox lines below

If n = 0 Then
    n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
    n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If

© 2022 Editio Princeps

Tema av Anders NorenUpp ↑