Вирусы на вашем сайте?

Многие спрашивают: как это так, было всё нормально, а теперь у меня вирус на сайте? Или написано, что мол Сайт может угрожать безопасности вашего компьютера или мобильного устройства? Что это за фигня такая? Или это реально вирусы? Ну давайте просто спросим у Яндекса, что это такое, что за вирусы, наиболее распространённые вирусы, которые по-словам антивирусных компании наиболее всего распространены на сайтах как известных компаний — так и простых пользователей. Всё дело в уязвимости сайта. Скажем asp (microsoft) на готовом движке наиболее всего уязвим. Алгоритм заражения такой: Как правило на сайте находится уязвимость, запускается эксплоит — позволяющий по ftp переписать существующий файл index.asp, затем дописать к нему зашифрованную строку со ссылкой на источник. Сам код вируса исполняется внутри тега iframe’e! И заражает компьютер пользователя, который просматривает данную страничку по сети в данный период времени.

Самые распространённые вирусы на сайтах пользователей (по названиям)

JS/ApndIfra-A
JS/DwnLdr-HOO
JS/IFrameHtm-A
JS/IfrmInj-A
JS/MalTxt-Gen
JS/PDFLd-Gen
JS/RefC-Gen
JS/ScrLd-B
JS/ScrLd-C
JS/ScrLd-D
JS/ScrLd-E
JS/ScrObf-Gen
JS/Sinowal-Gen
JS/Sinowal-V
JS/XIfr-Gen
Mal/Badsrc-A
Mal/Badsrc-C
Mal/Badsrc-D
Mal/Badsrc-E
Mal/Badsrc-F
Mal/Badsrc-K
Mal/Badsrc-M
Mal/ExpJS-AD
Mal/HappJS-A
Mal/Iframe-AA
Mal/Iframe-AF
Mal/Iframe-F
Mal/Iframe-Gen
Mal/Iframe-I
Mal/Iframe-M
Mal/Iframe-N
Mal/Iframe-O
Mal/Iframe-Q
Mal/Iframe-V
Mal/Iframe-W
Mal/Iframe-Y
Mal/JSIfrLd-A
Mal/JSRedir-D
Mal/ObfJS-A
Mal/ObfJS-AB
Mal/ObfJS-X
Mal/Psyme-E
Mal/ScrLd-A
Mal/Varcat-A
Troj/AllAple-A
Troj/Badsrc-B
Troj/Badsrc-D
Troj/Badsrc-G
Troj/Badsrc-H
Troj/Badsrc-L
Troj/Badsrc-M
Troj/Badsrc-O
Troj/Bitget-A
Troj/DecDec-A
Troj/Dloadr-DLH
Troj/Fujif-Gen
Troj/Ifradv-A
Troj/Iframe-AQ
Troj/Iframe-BT
Troj/Iframe-BW
Troj/Iframe-CB
Troj/Iframe-CG
Troj/Iframe-DP
Troj/Iframe-DR
Troj/Iframe-DY
Troj/IFrame-DY
Troj/Iframe-EA
Troj/Iframe-EN
Troj/Iframe-FB
Troj/Iframe-GO
Troj/Iframe-HF
Troj/Iframe-HP
Troj/Iframe-HX
Troj/Iframe-HX
Troj/Iframe-Q
Troj/JsDown-AH
Troj/JSRedir-AK
Troj/JSRedir-AR
Troj/JSRedir-AU
Troj/JSRedir-AZ
Troj/JSRedir-BB
Troj/JSRedir-BD
Troj/JSRedir-DC
Troj/JSRedir-DL
Troj/JSRedir-DO
Troj/JSRedir-DP
Troj/JSRedir-DT
Troj/JSRedir-DС
Troj/JSRedir-EF
Troj/JSRedir-FV
Troj/JSRedir-GS
Troj/JSRedir-GW
Troj/JSRedir-HB
Troj/JSRedir-O
Troj/JSRedir-R
Troj/JSRedir-S
Troj/PDFEx-ET
Troj/PhoexRef-A
Troj/SEOImg-A
Troj/SWFifra-A
Troj/Thyself-A
Troj/Unif-B
Troj/WndRed-C
Мобильный редирект
Поведенческий анализ

    JS/ApndIfra-A
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и
    функций могут отличаться для каждого конкретного скрипта).
    После выполнения данный код загружает вредоносный JavaScript код с удаленных ресурсов.
    Обычно этот вредоносный код содержится в атрибуте onLoad элемента body.
    Пример вредоносного кода, по которому выносится вердикт JS/ApndIfra-A:

    наверх

    JS/DwnLdr-HOO

    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и
    функций могут отличаться для каждого конкретного скрипта).
    После выполнения данный код открывает рекламу во всплывающем окне а также загружает вредоносный код с
    удаленных ресурсов.
    Пример вредоносного кода, по которому выносится вердикт JS/DwnLdr-

    HOO:

    наверх

    JS/IFrameHtm-A
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта).
    После выполнения код добавляет на страницу невидимый элемент iframe, загружающий вредоносный код с
    удаленных ресурсов.
    Пример вредоносного кода, по которому выносится вердикт JS/IFrameHtm-A:

    наверх

    JS/IfrmInj-A
    Данный вердикт означает, что на странице присутствует JavaScript-код, который после выполнения проверяет версию операционной системы и браузера пользователя, а также наличия определенных cookie. В случае выполнения определенных условий код добавит на страницу тег <iframe>
    в атрибуте src которого стоит доменное имя с которого распространяется вредоносное ПО, а так же с атрибутами width и height со значениями от 0 до 3.
    Пример вредоносного кода, по которому выносится вердикт JS/IfrmInj-A:

    наверх

    JS/MalTxt-Gen
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код. После выполнения этот код подгружает скрипт, при помощи которого распространяется вредоносное ПО.
    Особенность вредоносного кода, по которому выносится данный
    вердикт, в том, что вредоносный скрипт защищает себя от декодирования и анализа с помощью
    textarea, т.к. в нём присутствует код для противодействия деобфускации, например:

    Пример вредоносного кода, по которому выносится вердикт JS/MalTxt-Gen:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх

    JS/PDFLd-Gen
    Данный вердикт означает, что при открытии страницы был загружен вредоносный код ( набор эксплоитов ) с
    удаленного ресурса.
    Обычно это происходит, ввиду наличия вредоносного кода в легитимно подключаемых javascript-сценариях.
    Пример вредоносного кода, по которому выносится вердикт JS/PDFLd-
    Gen:

    наверх

    JS/RefC-Gen
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). После выполнения этот код перенаправляет пользователя на сайт, распространяющий вредоносное ПО, если пользователь пришёл на зараженный сайт из поисковой системы.
    Пример вредоносного кода, по которому выносится вердикт JS/RefC-Gen:

    наверх

    JS/ScrLd-B
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), выполнение которого приводит к загрузке скрипта с удаленного сервера с вредоносным содержимым.
    Пример вредоносного кода, по которому выносится вердикт
    JS/ScrLd-B:

    наверх

    JS/ScrLd-C
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), выполнение которого приводит к загрузке скрипта с удаленного сервера с вредоносным содержимым.
    Пример вредоносного кода, по которому выносится вердикт JS/ScrLd-C:

    наверх

    JS/ScrLd-D
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код, выполнение
    которого приводит к загрузке скрипта с удаленного сервера с вредоносным содержимым.
    Пример вредоносного кода, по которому выносится вердикт JS/ScrLd-D:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх

    JS/ScrLd-E
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код, выполнение которого приводит к загрузке вредоносного скрипта с удаленного сервера. Злоумышленники пытаются усложнить поиск данного вредоносного кода за счёт использования в названиях переменных и функций слов, не вызывающих ассоциаций с вредоносным кодом, например «colors».
    Пример вредоносного кода, по которому выносится вердикт JS/ScrLd-E:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх

    JS/ScrObf-Gen
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения добавит на страницу тег <iframe> в атрибуте
    src которого стоит доменное имя с которого распространяется вредоносное ПО.
    Пример вредоносного кода, по которому выносится вердикт JS/ScrObf-
    Gen:

    наверх

    JS/Sinowal-Gen
    Данный вердикт означает, что на странице присутствует обфусцированный

    JavaScript-код, который после выполнения подгружает скрипт, который, в свою очередь, после выполнения добавляет
    на страницу тег <iframe>, в атрибуте src которого стоит доменное имя сервера, с которого распространяется
    вредоносное ПО, а так же с атрибутами width и height со значениями от 0 до 2.
    Пример вредоносного кода, по которому выносится вердикт JS/Sinowal-
    Gen:

    наверх

    JS/Sinowal-V
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код, который после выполнения подгружает скрипт, который, в свою очередь, после выполнения добавляет
    на страницу тег <iframe>, в атрибуте src которого стоит доменное имя сервера, с которого распространяется вредоносное ПО, а так же с атрибутами width и
    height со значениями от 0 до 2.
    Пример вредоносного кода, по которому выносится вердикт JS/Sinowal-V:

    наверх

    JS/XIfr-Gen
    Данный вердикт означает, что на странице присутствует JavaScript-код,
    который после выполнения добавит на страницу тег <iframe> в атрибуте src которого стоит доменное имя с
    которого распространяется вредоносное ПО, а так же с атрибутами width и height со значениями от 0 до 10. Кроме
    вышеуказанных атрибутов, тег <iframe> также может включать в себя дополнительные атрибуты, такие как
    frameborder=0, style=»VISIBILITY:hidden», style=»display:none».
    Пример вредоносного кода, по которому выносится вердикт JS/XIfr-en:

    наверх

    Mal/Badsrc-A
    Данный вердикт означает, что на странице присутствует код, который содержит
    доменное имя в аттрибуте src тега <script> с которого распространяется
    вредоносное ПО. Подгружаемый скрипт в атрибуте src может оканчиваться расширением
    .php или .js
    Пример вредоносного кода,
    по которому выносится вердикт Mal/Badsrc-A:

    наверх

    Mal/Badsrc-C

    Данный вердикт означает, что на странице присутствует код, который содержит доменное имя в

    аттрибуте src тега <script> с которого распространяется вредоносное ПО.

    Подгружаемый скрипт в атрибуте src может оканчиваться расширением .php или
    .js
    Пример вредоносного кода, по которому выносится
    вердикт Mal/Badsrc-C:

    наверх

    Mal/Badsrc-D
    Данный вердикт означает, что на странице присутствует код, который содержит в аттрибуте
    src тега <script> файл с раширением .jpg. В
    подгружаемом скрипте с раширением .jpg обычно содержится вредоносный код.
    Пример вредоносного кода, по которому выносится вердикт Mal/Badsrc-D:

    наверх

    Mal/Badsrc-E
    Данный вердикт означает, что на странице присутствует код, который содержит в аттрибуте src тега <script>
    доменное имя, с которого распространяется вредоносное ПО. Особенностью данного вердикта является то, что
    доменное имя представлено в HTML URL Encode виде.
    Пример вредоносного кода, по которому выносится вердикт Mal/Badsrc-E:

    наверх

    Mal/Badsrc-F
    Данный вердикт означает, что на странице присутствует код, который содержит
    доменное имя в атрибуте src тега <script> с которого распространяется вредоносное ПО.
    Пример вредоносного кода, по которому выносится вердикт Mal/Badsrc-F:

    наверх
    Mal/Badsrc-K
    Вердикт означает, что на странице присутствует JavaScript-код блока
    партнерской сети traffbiz.ru. Во время его выполнения периодически происходит подгрузка вредоносного
    JavaScript-кода со стороннего сайта, который, в свою очередь, распространяет вредоносное ПО.
    Пример вредоносного кода, по которому выносится вердикт Mal/Badsrc-K:

    Более подробная информация о данном виде заражения
    приведена здесь.
    наверх

    Mal/Badsrc-M
    Данный вердикт означает, что на странице присутствует код,
    который содержит доменное имя в аттрибуте src тега <script> с которого распространяется вредоносное ПО.
    Подгружаемый скрипт в атрибуте src может заканчиваться расширением .php и принимает нужные подгружаемому скрипту
    параметры заданные злоумышленником. Чаще скрипт располагается на странице перед закрывающими тегами
    </body></html>
    Пример вредоносного кода, по которому выносится вердикт Mal/Badsrc-M:

    наверх

    Mal/ExpJS-AD
    Данный вердикт означает, что на станице присутвует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта), который в ходе
    выполнения определяет версию операционной системы, браузера и установленных плагинов и на основании этого
    добавляет тег <iframe> в атрибуте src которого содержится URL специально сформированного зараженного
    файла.
    Пример вредоносного кода, по которому выносится вердикт Mal/ExpJS-AD:

    наверх

    Mal/HappJS-A
    Данный вердикт означает, что в скрипте с раширением .js
    присутствует код, который создает через функции JavaScript(например document.write) тег
    <script> с аттрибутом src. В атрибуте src содержится
    доменное имя с которого распространяется вредоносное ПО.
    Пример
    вредоносного кода, по которому выносится вердикт Mal/HappJS-A:

    наверх
    Mal/Iframe-AA

    Данный код осуществляет подгрузку вредоносного JS-сценария со стороннего ресурса вида
    https://91.196.216.20/url.php в контекст зараженной страницы.
    После загрузки вредоносного сценария в ряде случаев (например, для браузеров Internet Explorer) происходит атака
    компьютеров посетителей сайта различными эксплоитами.
    Код обфусцирован и специально создан для противодействия антивирусным системам.
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-AA:

    наверх
    Mal/Iframe-AF
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). После выполнения
    код добавляет на страницу iframe, в атрибуте src которого стоит доменное имя с которого распространяется
    вредоносное ПО. Особенностью данного заражения является то, что вредоносный код дописывается ко всем файлам,
    имеющим расширение .js на сайте.
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-AF:

    наверх

    Mal/Iframe-F
    Данный вердикт означает, что на
    странице присутствует тег <iframe> в атрибуте src которого стоит
    доменное имя с которого распространяется вредоносное ПО, а так же с атрибутами width,
    height со значениями от 0 до 2, либо код JavaScript, который при исполнении добавит этот тег на
    страницу. Кроме вышеуказанных атрибутов, тег <iframe> также может включать в себя дополнительные атрибуты,
    какие как frameborder=0, style=»VISIBILITY:hidden»,
    style=»display:none».
    Примеры вредоносного кода, по
    которому выносится вердикт Mal/Iframe-F:

    наверх

    Mal/Iframe-Gen
    Данный вердикт означает, что на странице присутствует обфусцированный код JavaScript(имена переменных и имена
    функций могут быть для каждого скрипта разные), после исполнения которого на страницу добавится тег
    <iframe> с атрибутом src, который содержит имя домена, распространяющего
    вредоносное ПО, а также имеет другие атрибуты, обеспечивающие скрытность
    созданного элемента страницы. Например:
    frameborder=0
    style=»VISIBILITY:hidden»
    style=»display:none»
    .
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-Gen:

    Код после первой стадии
    деобфускации:

    Код после
    второй стадии деобфускации:

    наверх

    Mal/Iframe-I
    Данный вердикт означает, что на странице присутствует тег
    <iframe> в атрибуте src которого стоит доменное имя в шестнадцатеричной
    или десятичной HTML кодировке с точкой с запятой, с которого распространяется вредоносное ПО, а так же с
    атрибутами width, height со значениями от 0 до 2. Кроме вышеуказанных
    атрибутов, тег <iframe> также может содержать включать в себя дополнительные параметры, такие как
    frameborder=0, style=»VISIBILITY:hidden», style=»display:none».
    Пример вредоносного кода, по
    которому выносится вердикт Mal/Iframe-I:

    наверх

    Mal/Iframe-M
    Данный вердикт означает, что на странице
    присутствует тег <iframe>:
    в атрибуте src которого указывается доменное имя сервера, распространяющего вредоносное
    ПО;
    с атрибутами width и height, значения которых отличаются от 0;
    с атрибутами style=»visibility: hidden» и border=»0″.
    .

    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-M:

    наверх
    Mal/Iframe-N
    Данный вердикт означает, что на странице присутствует тег <iframe>, в
    атрибуте src которого стоит доменное имя сервера, с которого распространяется вредоносное ПО, а также с
    атрибутами width и height, которые принимают значения от 0 до 2. Так же тег <iframe> может сожержать
    атрибуты событий, значения которых содержат вредоносный код.
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-N:

    наверх

    Mal/Iframe-O
    Данный вердикт означает, что на странице присутствует тег
    <iframe> с атрибутами width, height больше нуля, а так
    же содержит в атрибуте src доменное имя с которого происходит распространение вредоносного
    ПО.
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-O:

    наверх

    Mal/Iframe-Q
    Данный вердикт означает, что на странице присутствует тег
    <iframe>, в атрибуте src которого стоит доменное имя сервера, с которого
    распространяется вредоносное ПО, а также с атрибутами width и height, которые
    принимают значения от 0 до 2.
    Кроме того, тег <iframe> может иметь дополнительные
    атрибуты, такие как frameborder=0, style=»VISIBILITY:hidden», style=»display:none».
    Пример вредоносного кода, по
    которому выносится вердикт Mal/Iframe-Q:

    наверх

    Mal/Iframe-V
    Данный вердикт означает, что на странице
    присутствует тег <iframe> в атрибуте src которого стоит доменное имя, с
    которого распространяется вредоносное ПО, а так же с атрибутами width, height
    со значениями от 0 до 2. Кроме вышеуказанных атрибутов, тег <iframe> также может включать в себя
    дополнительные атрибуты, такие как frameborder=0, style=»VISIBILITY:hidden»,
    style=»display:none».
    Примеры вредоносного кода, по
    которому выносится вердикт Mal/Iframe-V:

    наверх
    Mal/Iframe-W
    Данный вердикт означает, что на странице присутствует тег <iframe> в
    атрибуте src которого стоит доменное имя с которого распространяется вредоносное ПО, а так же с
    атрибутами width, height со значениями от 0 до 2, либо код JavaScript, который
    при исполнении добавит этот тег на страницу. Кроме вышеуказанных атрибутов, тег <iframe> также может
    включать в себя дополнительные атрибуты, такие как frameborder=0,
    style=»VISIBILITY:hidden», style=»display:none».
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-W:

    наверх

    Mal/Iframe-Y
    Данный вердикт означает что на странице присутствует тег <iframe> с атрибутами width и height
    больше нуля, а также содержит в атрибуте src доменное имя с которого происходит распространение вредоносного ПО.
    Кроме того, тег <iframe> может иметь дополнительные атрибуты, такие как frameborder=0,
    style=»VISIBILITY:hidden», style=»display:none». Так же iframe может добавляться на сраницу динамически, путем
    выполнения Javascript-кода.
    Пример вредоносного кода, по которому выносится вердикт Mal/Iframe-Y:

    наверх
    Mal/JSIfrLd-A
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта разные), после исполнения
    которого на страницу добавится тег <iframe> в атрибуте src которого содержится доменное имя с которого
    распространяется вредоносное ПО, а также имеет другие атрибуты, обеспечивающие скрытность созданного элемента
    страницы.

    Пример вредоносного кода, по которому выносится вердикт Mal/JSIfrLd-A:

    наверх
    Mal/JSRedir-D
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    Пример вредоносного кода, по которому выносится вердикт Mal/JSRedir-D:

    наверх
    Mal/ObfJS-A
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), выполнение которого
    приводит к вредоносным действиям. Чаще всего после выполнения скрипта создается тег
    <iframe> в атрибуте src которого стоит доменное имя с которого
    распространяется вредоносное ПО.
    Пример вредоносного кода, по которому
    выносится вердикт Mal/ObfJS-A:

    наверх

    Mal/ObfJS-AB
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого
    скрипта разные), выполнение которого приводит к вредоносным действиям. Чаще всего после выполнения скрипта
    создается тег <iframe> в атрибуте src которого стоит доменное имя с
    которого распространяется вредоносное ПО.
    Пример вредоносного кода, по
    которому выносится вердикт Mal/ObfJS-AB:

    наверх

    Mal/ObfJS-X
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого
    скрипта разные), выполнение которого приводит к вредоносным действиям. Чаще всего после выполнения скрипта
    cоздается тег <iframe> в атрибуте src которого стоит доменное имя с
    которого распространяется вредоносное ПО.
    Пример вредоносного кода, по
    которому выносится вердикт Mal/ObfJS-X:

    наверх
    Mal/Psyme-E
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код, который при выполнении добавляет на страницу тег
    <iframe>, в атрибуте src которого стоит доменное имя сервера, с которого
    распространяется вредоносное ПО, а также с атрибутами width и height,
    принимающими значения от 0 до 2.
    Пример вредоносного кода, по которому
    выносится вердикт Mal/Psyme-E:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх
    Mal/ScrLd-A
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного
    скрипта). После выполнения код ждет движения мыши и, после срабатывания данного события, подгружает на страницу
    скрипт с вредоносным ПО. Особенностью данного заражения является то, что вредоносный код дописывается ко всем
    файлам, имеющим расширение .js на сайте.
    Пример вредоносного кода, по
    которому выносится вердикт Mal/ScrLd-A:

    наверх
    Mal/Varcat-A
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код, который после выполнения добавляет на страницу тег
    <iframe>, в атрибуте src которого стоит доменное имя, с которого
    распространяется вредоносное ПО, а также имеющий атрибуты width и height со
    значениями от 0 до 2.
    Кроме того, тег <iframe> может иметь дополнительные атрибуты,
    такие как frameborder=»0″ и style=»visibility: hidden;».
    .
    Пример вредоносного кода, по которому выносится вердикт Mal/Varcat-A:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх
    Troj/AllAple-A
    Troj/Allaple-A это бэкдор для Windows
    платформ. Троян копирует себя во многочисленные директории со случайно сгенерированным именем файла длиной
    восемь байт. Троян извлекает из своего тела вредоносные DLL файлы и помещает их в системную директорию Windows.
    На зараженной системе в содержимом всех HTML файлов появляется строка:
    <OBJECT type=»application/x-oleobject»CLASSID=»CLSID(случайно сгенерированный CLSID)»></OBJECT>
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/AllAple-A:

    наверх
    Troj/Badsrc-B
    Данный вердикт означает, что на странице присутствует тег <script>,
    который содержит в атрибуте src доменное имя сервера, с которого распространяется вредоносное ПО. Вредоносный
    скрипт подгружается на страницу с URI, заканчивающегося на .js
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-B:

    наверх
    Troj/Badsrc-D
    Данный вердикт означает, что на странице присутствует JavaScript-код(имена переменных и имена функций могут быть
    для каждого скрипта разные), который после своего выполнения добавит на страницу тег
    <script> в атрибуте src которого, содержится доменное имя с которого
    распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-D:

    наверх
    Troj/Badsrc-G
    Данный вердикт означает, что на странице присутствует тег <script>,
    который содержит в атрибуте src доменное имя сервера, с которого распространяется вредоносное ПО. Вредоносный
    скрипт подгружается на страницу с URI, заканчивающегося на .js
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-G:

    наверх
    Troj/Badsrc-H
    Данный вердикт означает, что на странице присутствует JavaScript-код(имена переменных и имена функций могут быть
    для каждого скрипта разные), который после своего выполнения добавит на страницу тег
    <script> в атрибуте src которого, содержится доменное имя с которого
    распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-H:

    наверх
    Troj/Badsrc-L
    Данный вердикт означает, что на странице присутствует тег
    <script>, который содержит в атрибуте src доменное имя сервера, с
    которого распространяется вредоносное ПО. Вредоносный скрипт подгружается на страницу с URI, заканчивающегося на
    .php .
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-L:

    наверх
    Troj/Badsrc-M
    Данный вердикт означает, что на странице присутствует код,
    который содержит доменное имя в атрибуте src тега <script> с которого распространяется вредоносное ПО.
    Подгружаемый скрипт в атрибуте src может заканчиваться расширением .js. В большинстве случаев данный скрипт
    располагается после тега </html>
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Badsrc-M:

    наверх
    Troj/Badsrc-O
    Данный вердикт означает, что на странице присутствует тег <script>,
    который содержит в атрибуте src доменное имя сервера, с которого распространяется вредоносное ПО. Вредоносный
    скрипт подгружается на страницу с URI, заканчивающегося на .php.
    .
    Пример
    вредоносного кода, по которому выносится вердикт Troj/Badsrc-O:

    наверх
    Troj/Bitget-A
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код, который после
    выполнения добавляет на страницу тег <iframe>, в атрибуте src которого содержится доменное имя сервера,
    распространяющего вредоносное ПО, а атрибуты width и height которого имеют значения от 0 до 2.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Bitget-A:

    наверх
    Troj/DecDec-A
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций каждого скрипта одинаковые), выполнение которого приводит к
    вредоносным действиям. Чаще всего после выполнения скрипта создается тег <iframe> в
    атрибуте src которого стоит доменное имя с которого распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/DecDec-A:

    наверх
    Troj/Dloadr-DLH
    Данный вердикт означает, что на странице присутствует JavaScript-код, который после выполнения
    добавит на страницу тег <iframe> в атрибуте src которого стоит доменное имя с которого распространяется
    вредоносное ПО, а так же с атрибутами width и height со значениями от 0 до 10. Кроме вышеуказанных атрибутов,
    тег <iframe> также может включать в себя дополнительные атрибуты, такие как frameborder=0,
    style=»VISIBILITY:hidden», style=»display:none».
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Dloadr-
    DLH:

    наверх
    Troj/Fujif-Gen
    Данный вердикт означает, что на странице присутствует тег
    <iframe>:
    в атрибуте src которого указано доменное имя сервера, с которого распространяется вредоносное ПО;
    с атрибутами width и height, имеющими значение от 0 до2;
    с дополнительными атрибутами, такими как frameborder=»0″иstyle=»height:1px».
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Fujif-Gen:

    наверх
    Troj/Ifradv-A
    Данный вердикт означает, что на странице присутствует тег
    <iframe>, в атрибуте src которого указано доменное имя сервера, с
    которого распространяется вредоносное ПО, а также с атрибутами width и height,
    значения которых лежат в пределах от 0 до 2.
    В URL такого вредоносного кода, который указывается в
    атрибуте src, присутствует подстрока adv.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Ifradv-A:

    наверх
    Troj/Iframe-AQ
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена
    переменных и функций могут отличаться для каждого конкретного скрипта). После выполнения код добавляет на
    страницу iframe, в атрибуте src которого стоит доменное имя с которого распространяется вредоносное ПО, а так же
    с атрибутами width и height со значениями от 0 до 3.
    .
    Пример вредоносного
    кода, по которому выносится вердикт Troj/Iframe-AQ:

    наверх
    Troj/Iframe-BT
    Данный вердикт означает, что на странице присутствует невидимый элемент iframe, загружающий вредоносный код с
    удаленных ресурсов.
    Обычно данный iframe элемент расположен в конце страницы.
    нашими
    рекомендациями.
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-BT:

    наверх
    Troj/Iframe-BW
    Данный вердикт означает, что на странице присутствует тег <iframe> в
    атрибуте src которого стоит доменное имя с которого распространяется вредоносное ПО, а так же с
    атрибутами width, height со значениями от 0 до 2. Кроме вышеуказанных
    атрибутов, тег <iframe> также может содержать включать в себя дополнительные параметры, такие как
    frameborder=0, style=»VISIBILITY:hidden»,
    style=»visibility:hidden;position:absolute».
    .
    Примеры
    вредоносного кода, по которому выносится вердикт Troj/Iframe-BW:

    наверх
    Troj/Iframe-
    CB
    Данный вердикт означает, что на странице присутствует тег <iframe>, в
    атрибуте src которого содержится доменное имя сервера, распространяющего вредоносное ПО, а
    также с атрибутами width и height, отличными от 0.
    Кроме того, тег
    <iframe> имеет атрибут style=»border: 0px none; position: relative; top: 0px;
    left: -500px; opacity: 0;».
    .
    Пример вредоносного кода, по
    которому выносится вердикт Troj/Iframe-CB:

    наверх
    Troj/Iframe-CG
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код, который после выполнения добавляет на страницу тег <iframe>,
    в атрибуте src которого содержится доменное имя с которого распространяюется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-
    CG:

    наверх
    Troj/Iframe-DP
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код, который после выполнения добавляет на страницу тег <iframe>, в атрибуте
    src которого содержится доменное имя сервера, распространяющего вредоносное ПО, а атрибуты
    width и height которого имеют значения от 0 до 2.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-
    DP:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх
    Troj/Iframe-DR
    Данный вердикт означает, что на странице
    присутствует JavaScript-код, который после выполнения добавит на страницу тег <iframe> в атрибуте src
    которого стоит доменное имя с которого распространяется вредоносное ПО, а так же с атрибутами width и height со
    значениями от 0 до 10. Кроме вышеуказанных атрибутов, тег <iframe> также может включать в себя
    дополнительные атрибуты, такие как frameborder=0, style=»VISIBILITY:hidden», style=»display:none».
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-
    DR:

    наверх
    Troj/Iframe-DY
    Данный вердикт означает, что на странице присутствует JavaScript-код,
    который после выполнения добавит на страницу тег <iframe> в атрибуте src
    которого стоит доменное имя с которого распространяется вредоносное ПО, а так же с атрибутами
    width и height со значениями от 0 до 2. Кроме вышеуказанных атрибутов, тег
    <iframe> также может включать в себя дополнительные атрибуты, такие как
    frameborder=0, style=»VISIBILITY:hidden»,
    style=»display:none».
    .
    Пример вредоносного кода, по
    которому выносится вердикт Troj/Iframe-DY:

    наверх
    Troj/IFrame-DY
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого
    конкретного скрипта).
    После выполнения код добавляет на страницу невидимый элемент iframe, загружающий вредоносный код с
    удаленных ресурсов.
    нашими рекомендациями.
    Пример вредоносного кода, по
    которому выносится вердикт Troj/IFrame-DY:

    наверх
    Troj/Iframe-EA
    Данный вердикт означает, что на
    странице присутствует обфусцированный JavaScript-код, который после выполнения добавляет на страницу тег
    <iframe>, в атрибуте src которого содержится доменное имя сервера, распространяющего вредоносное ПО, а
    атрибуты width и height которого имеют значения от 0 до 2.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-
    EA:

    наверх
    Troj/Iframe-EN
    Данный вердикт выносится, когда на странице присутствует JavaScript-код,
    который после выполнения добавляет на страницу тег <iframe>, в атрибуте
    src которого стоит доменное имя сервера, распространяющего вредоносное ПО, а атрибуты
    width и height которого принимают значения от 0 до 2.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-EN:

    наверх
    Troj/Iframe-FB
    Данный вердикт означает, что на странице присутствует JavaScript-код, который после выполнения
    добавит на страницу тег <iframe> в атрибуте src которого стоит доменное
    имя с которого распространяется вредоносное ПО, а так же с атрибутами width и
    height со значениями от 0 до 2. Кроме вышеуказанных атрибутов, тег
    <iframe> также может включать в себя дополнительные атрибуты, такие как
    frameborder=0, style=»VISIBILITY:hidden»,
    style=»display:none».
    .
    Пример вредоносного кода, по
    которому выносится вердикт Troj/Iframe-FB:

    наверх
    Troj/Iframe-GO
    Данный вердикт означает, что на странице
    присутствует тег <iframe> в атрибуте src которого стоит доменное имя с
    которого распространяется вредоносное ПО, а так же с атрибутами width, height
    со значениями от 0 до 2.
    .
    Пример вредоносного кода, по которому выносится
    вердикт Troj/Iframe-GO:

    наверх
    Troj/Iframe-HF
    Данный вердикт означает, что на странице присутствует
    JavaScript-код, который после выполнения добавит на страницу тег <iframe> в атрибуте src которого стоит
    доменное имя с которого распространяется вредоносное ПО, а так же с атрибутами width и height со значениями от 0
    до 2. Кроме вышеуказанных атрибутов, тег <iframe> также может включать в себя дополнительные атрибуты,
    такие как frameborder=0, style=»VISIBILITY:hidden», style=»display:none». При данном заражении вредоносный код в
    большинстве случаев располагается в нескольких местах в середине HTML документа.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-HF:

    наверх
    Troj/Iframe-HP
    Данный вердикт означает, что на странице присутствует элемент iframe небольшого размера, загружающий
    вредоносный код с удаленных ресурсов.
    Обычно данный iframe элемент расположен перед закрывающим тегом body
    нашими
    рекомендациями.
    Пример вредоносного кода, по которому выносится вердикт Troj/Iframe-HP:

    наверх

    Troj/Iframe-HX
    Данный вердикт означает, что на странице присутствует тег <iframe>, в атрибуте src которого
    содержится доменное имя сервера, распространяющего вредоносное ПО. Кроме того, тег <iframe> имеет атрибут
    style=»visibility: hidden; display: none; display: none;».
    .
    Пример
    вредоносного кода, по которому выносится вердикт Troj/Iframe-HX:

    наверх
    Troj/Iframe-
    HX
    Данный вердикт означает, что на странице присутствует невидимый элемент iframe, загружающий вредоносный код с
    удаленных ресурсов.
    Обычно данный iframe элемент можно найти на главной странице зараженного сайта.
    нашими рекомендациями.
    Пример вредоносного кода, по которому выносится вердикт
    Troj/Iframe-HX:

    наверх
    Troj/Iframe-Q
    Данный вердикт означает, что на странице присутствует тег
    <iframe> в атрибуте src которого стоит доменное, имя с которого
    распространяется вредоносное ПО, а так же с атрибутами width, height со
    значениями от 0 до 2. Кроме вышеуказанных атрибутов, тег <iframe> также может включать в себя
    дополнительные атрибуты, такие как frameborder=0, style=»VISIBILITY:hidden»,
    style=»display:none».
    .
    Пример вредоносного кода, по
    которому выносится вердикт Troj/Iframe-Q:

    наверх
    Troj/JsDown-AH
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного
    скрипта), который после выполнения добавит на страницу <iframe> в атрибуте src которого содержится
    доменное имя, с которого распространяется вредоносное ПО. Обычно данный код дописывается в конец всех файлов со
    скриптами, которые подгружаются на страницу.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JsDown-
    AH:

    наверх
    Troj/JSRedir-AK
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-
    AK:

    наверх
    Troj/JSRedir-AR
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-
    AR:

    наверх
    Troj/JSRedir-AU
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-
    AU:

    наверх
    Troj/JSRedir-AZ
    Данный вердикт означает, что на странице присутствует обфусцированный

    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта), который после
    выполнения перенаправляет пользователя на сайт, распространяющий вредоносное ПО. Как правило в данном случае
    заражения сайта указанный код располагается в отдельном файле с расширением js.
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-AZ:

    наверх
    Troj/JSRedir-BB
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-
    BB:

    наверх
    Troj/JSRedir-BD
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-
    BD:

    наверх
    Troj/JSRedir-DC
    Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и

    функций могут отличаться для каждого конкретного скрипта).
    После выполнения код загружает вредоносный JavaScript код с удаленных ресурсов.
    нашими рекомендациями.
    Пример вредоносного кода, по которому выносится вердикт
    Troj/JSRedir-DC:

    наверх

    Troj/JSRedir-DL
    Данный вердикт означает, что на странице присутствует
    обфусцированный JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта разные), который
    после выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-DL:

    наверх
    Troj/JSRedir-DO
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код, который при выполнении перенаправляет пользователя на сайт, распространяющий вредоносное ПО.
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-DO:

    Имена переменных и функций в каждом конкретном случае могут отличаться от приведённых в примере.
    наверх
    Troj/JSRedir-DP
    Данный вердикт означает, что на странице
    присутствует обфусцированный JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта
    разные), который после выполнения перенаправит пользователя на сайт с которого распространяется вредоносное
    ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт
    Troj/JSRedir-DP:

    наверх
    Troj/JSRedir-DT
    Данный вердикт означает, что на странице присутствует
    обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который
    после выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-DT:

    наверх
    Troj/JSRedir-DС
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта разные), который после
    выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-DС:

    наверх
    Troj/JSRedir-EF
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта разные), который после
    выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-EF:

    наверх
    Troj/JSRedir-FV
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). После выполнения
    код ждет движения мыши и, после срабатывания данного события, подгружает на страницу скрипт с вредоносным ПО.
    Особенностью данного заражения является то, что вредоносный код дописывается ко всем файлам, имеющим расширение
    .js на сайте.
    .

    Пример вредоносного кода, по которому выносится вердикт
    Troj/JSRedir-FV:

    наверх
    Troj/JSRedir-GS
    Данный вердикт означает, что на странице присутствует
    обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который
    после выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Подробнее о причине заражения можно узнать из нашей статьи.
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-GS:

    наверх
    Troj/JSRedir-GW
    Данный вердикт означает, что на странице присутствуют JavaScript-объекты, ссылающиеся на вредоносный код с
    удаленных ресурсов.
    Обычно эти элементы попадают в БД сайта ( внутри статей, комментариев и т.п.), ввиду недостаточной фильтрации
    вводимих пользователями данных.
    нашими рекомендациями.
    Пример вредоносного кода, по которому выносится
    вердикт Troj/JSRedir-GW:

    наверх

    Troj/JSRedir-HB
    Данный вердикт означает, что на странице присутствует
    обфусцированный JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который
    после выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-HB:

    наверх
    Troj/JSRedir-O
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-O:

    наверх

    Troj/JSRedir-R
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО в доменной зоне
    .cn.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-R:

    наверх
    Troj/JSRedir-S
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО. Чаще всего этот вердикт выносится
    на сайты(или цепочку сайтов) с которых распространяются фальшивые антивирусы.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-S:

    наверх
    Troj/PDFEx-ET
    Указанный вердикт означает, что на странице либо в подгружаемых на нее
    скриптах присутствует JavaScript-код(имена переменных, имена функций, строковые константы и содержимое массивов
    могут быть разными для каждого скрипта), который после выполнения добавит на страницу <iframe> в атрибуте
    src которого содержится доменное имя, с которого распространяется вредоносное ПО.
    .
    Пример вредоносного кода, по которому выносится вердикт Troj/PDFEx-ET:

    наверх
    Troj/PhoexRef-A
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). После выполнения
    код ждет движения мыши и, после срабатывания данного события, подгружает на страницу скрипт с вредоносным ПО.
    Особенностью данного заражения является то, что вредоносный код дописывается ко всем файлам, имеющим расширение
    .js на сайте.
    .

    Пример вредоносного кода, по которому выносится вердикт
    Troj/PhoexRef-A:

    наверх
    Troj/SEOImg-A
    Данный вердикт означает, что на странице присутствует
    JavaScript-код, который перенаправляет браузер пользователя на страницу со скриптом, с которой распространяется
    вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/SEOImg-A:

    наверх
    Troj/SWFifra-A
    Данный вердикт означает, что на страницу подгружется SWF-файл, который
    содержит в себе тег <iframe>, в аттрибуте src которого указано доменное имя, с которого распространяется
    вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/SWFifra-A:

    наверх
    Troj/Thyself-A
    Данный вердикт означает, что на странице присутствует JavaScript-код,
    который после выполнения добавит на страницу тег <iframe> в атрибуте src которого стоит доменное имя с
    которого распространяется вредоносное ПО, а так же с атрибутами width и height со значениями от 0 до 10. Кроме
    вышеуказанных атрибутов, тег <iframe> также может включать в себя дополнительные атрибуты, такие как
    frameborder=0, style=»VISIBILITY:hidden», style=»display:none».
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/Thyself-A:

    наверх
    Troj/Unif-B
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код(имена переменных и имена функций могут быть для каждого скрипта разные), который после выполнения
    перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/Unif-B:

    наверх
    Troj/WndRed-C
    Данный вердикт означает, что на странице присутствует обфусцированный
    JavaScript-код (имена переменных и имена функций могут быть для каждого скрипта разные), который после
    выполнения перенаправит пользователя на сайт с которого распространяется вредоносное ПО.
    .

    Пример вредоносного кода, по которому выносится вердикт Troj/WndRed-C:

    наверх
    Мобильный редирект
    При проверке страниц сайта антивирусный комплекс Яндекса обнаружил
    мобильный редирект. Мобильный редирект – это перенаправление пользователя на сторонний сайт при попытке
    просмотра страниц исходного сайта с помощью мобильного устройства (например, телефона).
    Обычно такие редиректы перенаправляют пользователей на сайты, откуда происходит распространение вредоносного или
    мошеннического ПО (например, под видом обновления к веб-браузеру). Загрузка и установка таких программ может
    привести к заражению мобильного устройства.
    Мобильные редиректы могут настраиваться в файле .htaccess, в т.ч. поставляемом с CMS, как описано в этой статье. Также причиной их
    появления может быть серверный скрипт-бэкдор, подобный описанному здесь.
    .
    наверх
    Анализ
    сайта Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных
    элементов. Если поведение совпадает с эвристическими правилами, характерными для совмещённых XXS атак, то принимается решение о том, что на странице содержится вредоносный код. Информация предоставлена по используя материалы Яндекс: https://help.yandex.ru/webmaster/ в помощь вебмастеру.

4 thoughts on “Вирусы на вашем сайте?

  1. А также строка с ifram шифруется через javascript через функцию function (p, a, c, k, e, r) { var p = … в которой ссылка на вирус. 😈 😈 😈

    1. Да. Есть такая бяка. И кстати есть шифрация онлайн с параметрами. Вставляешь строку — а тебе в ответ: кракозябрики всякие букво-циферки.

Comments are closed.