Drabbad av virus

Häromveckan laddade jag hem ett av många program för att testa. Ja, jag är en early adopter när det gäller att testa program med allehanda funktioner. Ofta använder jag dem bara ett fåtal gånger och sedan faller de i glömska. Det jag märkte den här gången var att datorn plötsligt fick väldigt mycket att göra – processorn gick på för fullt och hårddiskarna jobbade hårt, det lät som de accessades hela tiden.

När jag inte längre kunde komma åt exempelvis sajterna Google och DN insåg jag att något var fel. Jag hade drabbats av viruset Virtumonde (benämns ibland Vundo). Jag ägnade många timmar åt att bli frisk igen och det lyckades tack vare fin hjälp av experter på ett malware removal forum på forums.spybot.info.

Dessvärre märkte jag att även min webbplats påverkats. Viruset använde sig troligen av min ftp-klient FileZilla för att göra s k malicious code injections, dvs skadlig kod infogades i mina webbsidor. Index.php-sidan i roten på min webbsajt ändrades till detta:

Malicious php code

Efter lite detektivarbete (eftersom jag inte kan något om script) så har jag lyckats ta reda på att en sajt med tvivelaktigt innehåll kontaktas med hjälp av scriptet, se bild nedan.

Malicious php code decoded

Det kan vara så att besökare på min sajt smittades. Jag ber om ursäkt för detta!

Några lärdomar jag gjort av det här är att

  1. ha ett sjysst anti-virusprogram installerat (Kaspersky eller NOD32)
  2. ha Spybots TeaTimer (bevakar och förhindrar ändringar i registret)
  3. ta bort sparade lösenord i ftp-klienter
  4. ha en hosts-fil som spärrar farliga ip-adresser och sajter, läs mer här. Där fick jag tips om ett användbart programpaket som möjliggör enkel editering av hosts-filen, automatiska uppdateringar och dessutom en enkel webbserver som blockerar banners o dyl.