Прекрасные вирусные новинки на Джумле

Сегодня моя вирусная коллекция пополнилась новыми экземплярами. Интересны тем что очень специализированы. Автор явно знает Джумлу на  приличном уровне.

Фрагмент 1. Вставка левого javascript-a
libraries/joomla/document/html/renderer/head.php

Разоблачить сие можно только по традиционно используемым для шифрования ссылки функциям gzuncompress() и base64_decode().

Фрагмент 2.
libraries/joomla/session/session.php

второй фрагмент не менее интересен. Из специально подготовленных кук, формируется вредоносный скрипт и записывается во временную директорию. А затем тут же через include исполняется. Если код чуть подправить и убрать base64_decode и chr(60).chr(63). , а это можно сделать, то его крайне сложно будет детектировать.

Все это обнаружено в Джумле 2.5 но ничто не мешает их модифицировать и для других версий этой CMS

И да, если вы подозреваете что не в состоянии сами справиться с вирусом, обращайтесь. Вылечу. Расценки скромные 800 р. 6 месяцев гарантии на мою работу.

Контакты

icq 346469836

fstrange.ru

cure@fstrange.ru

You may also like...