AntyRobak Opcje

[Paul]

Witam... Ostatnio zarazilem sie milym robaczkiem o nazwie Redlof...
http://mks.com.pl/baza.html?show=description&id=2021
http://securityresponse.symantec.com/avcen...l.redlof.a.html

No i ten robak infekuje pliki - html, htm, asp, php, jsp, vbs - i skopiowal mi sie w tych plikach jedynie w ... 3000 kopiach... z czego 700 to byly moje stronki/ skrypty... czyli rzeczy z ktorymi wolalbym sie nie rozstawac... (reszta to help photoshopa i flasha...wiec usunalem) no i wszystkie antywiry nie widza mozliwosci bezstratnie usuniecia (wyleczenia zarazonych plikow) tego robaka... co mozna latwo zrobilc notatnikiem, poniewaz on dodaje na koncu pliku 11516 byte'owy kod (<html>....<scirpt type="text/vbs">tu jego tresc</html>), by jego sie pozbyc wystarczy to usunac.... szukalem w google jakiegos usuwacza i nic... wiec postanowilem napisac wlasny w php:
[php:1:918cff6a02]
<html><head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2"></head><body>
<?php
$GLOBALS['ilosc'] = 0;
function remover($dir){
if($handle = opendir($dir)){
while(false !== ($file = readdir($handle))){
if($file != "." && $file!=".."){
$sciezka = $dir.'/'.$file;
$roz = substr($file, strpos($file, '.')+1);
$roz_vir2 = explode(',','html,htm,asp,php,jsp,vbs');
$roz_vir = false;
for($i=0;$i<count($roz_vir2); $i++){
if($roz == $roz_vir2[$i]){
$roz_vir = true;
}
}
if(is_file($sciezka) && $roz_vir){
$open = fopen($sciezka, 'r+');
$read = fread($open, filesize($sciezka));
$vir = strpos($read,'KJ_start()');
fclose($open);
if(strlen($vir) && addslashes(str_replace('/', '',$sciezka)) != $_SERVER["PATH_TRANSLATED"]){
echo $sciezka.'<br>';
$GLOBALS['ilosc']++;
$open = fopen($sciezka, 'w+');
fwrite($open, substr($read,0,-11516));
fclose($open);
}
}
}
}
}
}
function folder($dir){
if($handle = opendir($dir)){
while(false !== ($file = readdir($handle))){
if($file != "." && $file!=".."){
$sciezka = $dir.'/'.$file;
if(is_dir($sciezka)){
remover($sciezka);
folder($sciezka);
}
}
}
}
}
$dir = getcwd();
remover($dir);
folder($dir);
echo '<br><b>Wyleczono: '.$GLOBALS['ilosc'].' plików.</b>';
?></body></html>
[/php:1:918cff6a02]


Ogolne dzialanie skryptu:
- przeszukuje wszystkie foldery nizej od siebie (razem ze swoim)
- przeszukuje pliki z odpowiednimi rozszezeniami w celu sprawdzenia czy sa zainfekowane (KJ_start() - to kawalek kodu redlofa)
- nastepnie jesli plik zawiera dany kod obcina go o x byte'ow

No i dzieki temu mam 700 plikow czystych.

Ta funkce latwo mozna zmodyfikowac dla innych robakow. Wiec jakby ktos mial problemy z jakims robaczkiem dolaczajacym sie do plikow to powinno pomoc.