站长之家Chinaz.com 4月29日报道:有站长向站长之家透露,28日发现在访问自己的网站时,卡巴斯基提示了网站包含了JS广告木马Trojan-Downloader.JS.Agent.fan。
据这位热心站长的介绍,自己在进行网站管理的时候,意外的发现卡巴斯基对DedeCMS与Discuz进行了病毒报告,在报告中,被提示的木马病毒均为Trojan-Downloader.JS.Agent.fan,报告数据如下:
卡巴斯基提示DeDeCMS包含JS木马
2010-4-28 12:03:17 http://www.站长之家原创报道.com/dede/js/dialog.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:03:17 http://www.站长之家原创报道.com/dede/js/dialog.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:03:16 http://www.站长之家原创报道.com/dede/js/ieemu.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:03:16 http://www.站长之家原创报道.com/dede/js/ieemu.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:03:16 http://www.站长之家原创报道.com/dede/js/context_menu.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:03:16 http://www.站长之家原创报道.com/dede/js/context_menu.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:48 http://www.站长之家原创报道.com/dede/js/indexbody.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:48 http://www.站长之家原创报道.com/dede/js/indexbody.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:48 http://www.站长之家原创报道.com/include/dedeajax2.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:48 http://www.站长之家原创报道.com/include/dedeajax2.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:47 http://www.站长之家原创报道.com/dede/js/leftmenu.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:47 http://www.站长之家原创报道.com/dede/js/leftmenu.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:47 http://www.站长之家原创报道.com/include/dedeajax2.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-28 12:02:47 http://www.站长之家原创报道.com/include/dedeajax2.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan |
卡巴斯基提示Discuz论坛包含JS木马
2010-4-27 13:00:09 http://bbs.站长之家原创报道.com/uc_server/js/common.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-27 13:00:09 http://bbs.站长之家原创报道.com/uc_server/js/calendar.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-26 16:10:55 http://bbs.站长之家原创报道.com/uc_server/js/common.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-26 16:10:55 http://bbs.站长之家原创报道.com/uc_server/js/common.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan 2010-4-26 16:11:16 http://bbs.站长之家原创报道.com/uc_server/js/common.js Internet Explorer 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-26 16:11:16 http://bbs.站长之家原创报道.com/uc_server/js/common.js Internet Explorer 拒绝: Trojan-Downloader.JS.Agent.fan |
同样在本机的论坛文件被查杀:
FlashFXP 已删除: Trojan-Downloader.JS.Agent.fan 2010-4-26 9:43:17 F:\4-15\bbs\uc_server\js\calendar.js FlashFXP 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-26 9:43:17 F:\4-15\bbs\uc_server\js\calendar.js FlashFXP 已删除: Trojan-Downloader.JS.Agent.fan 2010-4-26 9:43:17 F:\4-15\bbs\uc_server\js\common.js FlashFXP 检测到威胁: Trojan-Downloader.JS.Agent.fan 2010-4-26 9:43:17 F:\4-15\bbs\uc_server\js\common.js FlashFXP 已删除: Trojan-Downloader.JS.Agent.fan 2010-4-26 9:43:22 F:\4-15\book\js\main.js FlashFXP |
据了解,这可能又是卡巴斯基的一起误报事件,在被报毒的文件中,大部分都包含了eval(function(p,a,c,k,e,d){e=function(c),这样的js代码经常被挂马者使用,用来加密压缩自身的恶意js代码,但是正常的网页也会使用这样的加密方式来加密自己的js代码。卡巴斯基采用特征匹配,一旦发现这段特征就认为是:Trojan-Downloader.JS.Agent.fan (一种js加密变种)。因此会对DedeCMS与Discuz报毒,受此影响的Discuz版本为7.1,DedeCMS版本为5.5GBK版,目前暂不清楚此次报毒事件是否只是个例。
此外,网络曾有消息称发现了FCK2.3X的0day,随后有传言DeDeCMS较早版本将受此影响,但DeDeCMS创始人林学(IT柏拉图)告诉站长之家,DeDeCMS并非使用原版FCK编辑器,Dede有专门的修改,因此不用担心老版DeDeCMS在编辑器方面的漏洞。