Вчера NOD32 моего друга поймал вирус при обращении к этому блогу О_о Что характерно, мой NOD на ноуте и Symantic на работе ни разу не ругнулись. JS/Agent.NEK  – вот имя этого злодея.

В интернетах нашел, что из себя представляет этот зверь:

В конце *.js файлов появляется строчка(несколько) вида

var cfd4324=”";function jc9fedf1309c1(){var de86524=String,w2d950 (arguments).join(“”) …

Такой код я нашел в 18-ти файлах в своем блоге. Соответсвенно, проверил остальные блоги, хостящиеся там же – результат неутешительный – вирь прописался везде.

Механизм заражения – через FTP с компьютера, имеющего этот самый FTP-доступ.

Посмотрев на строчки виря и их число сподобился написать регулярку для их отлавливания и, соответственно, удаления, а то вычищать 3000+ файлов, это как-то сильно долго.

Анекдот в тему:

Иногда, случается, что программист встает перед проблемой. И он думает:

“о, здесь я использую регулярные выражения!”. Теперь у него две проблемы.

В общем регулярка нашла и заменила все вирусо-строки во всех файлах ) за что ей и спасибо. Случайно набрел в инете на работу для фрилансеров – как раз вычистить такой вирус с чьего-то сайта….заняться что ли )))

Собственно регулярка

var [\w\d]+=”";.+Array.prototype.slice.call.+

Вроде ничего лишнего в WordPress и Joomla не находит – только вирус. Я использовал NotePad++ чтобы применить ее ко всему хостингу.