Durante estos ultimos dias hemos descubierto algunas paginas webs nuestras que han sido infectadas con un codigo que empieza con una secuencia similar a esta:

/ * GNU GPL * / try (window.onload = function ()

(var F1el82gmhsuw = …; document.body.appendChild (Whmmqcqnzw91);)) catch (e) ()

gnu-gpl-try-windowonload-function

Este codigo se comporta como si fuera un virus y despues de infectarte el espacio web tiene las siguientes misiones:

Busca las contraseñas almacenadas de las cuentas de FTP para enviarlas a servidores piratas.

Una vez recibidas las contraseñas se utilizan para conectarse a los servidores y modificar archivos HTML, PHP, ASP y JS para insertar los codigos scripts y seguir infectando.

Primeramente decir que los sitios web utilizan un monton de JS y estos seran todos cambiados sin ningun tipo de miramiento, despues pasara al resto pero de una forma mas moderada y modificando paginas principales como index y defaults.

Ahora para desacerte del Javascript maligno  / * GNU GPL * / try (window.onload = function () deberemos ir eliminado todos los archivos que hayan sido modificados borrando las lineas similares a la que he puesto de ejemplo eso para los JS, para el resto las lineas de codigo malicioso sera similar a esta y estaran al principio o al final del archivo.

<script>

<!–i4b8b3d6c567r76bd9ee094b1037409n–>

Por suerte para vosotros encontre un script que limpiara los  archivos con el codigo / * GNU GPL * / try (window.onload = function () que de forma automatica siguiendo estos pasos veras como se elimina el javascript malvado de tu server.

  1. Descargar el script aquí, Descomprimirlo y subir a la raíz del servidor web
  2. Ejecutar en el navegador apuntando a http://tudominio.com/curevir.php
  3. Deleitarse viendo como se ha arreglado el problema

No te olvides de moficiar la cuenta FTP por que sino te volveran a hackear

/ * LPG * / try (window.onload = function ()

Fuente de la descarga:

http://justcoded.com/article/gumblar-family-virus-removal-tool