Niby spokojny ranek zwykłego admina. Wsiadłem na swój komputer, aby porobić okresowe upgrade serwerów i zająć się swoimi zleceniami na dzisiaj. Nic nie wskazywało na żadną bombę z samego rana. Poszedłem sobie do serwerowni, aby poczuć się przez chwilę, jak w zamrażarce. Tak poważnie to miałem jeden stary serwer do przeinstalowania. Wracając do biura, nie spodziewałem się niczego specjalnego. Nic bardziej mylnego.

Nigdy nie widziałem naszego Project Managera bardziej bladego niż dzisiaj. Człowiek zdawał się zmieniać kolory z białego na … biało-siny. Pokazał mi zgłoszenie od klienta — jednego z banków, który obsługujemy. Było to o godzinie 10:49. Informatyk w tamtego banku zgłosił, że ich oryginalna aplikacja ESET NOD32 wykazuje po wejściu na stronę WWW z naszą aplikacją trojana — HTML/Refresh.BC. Wstrzymałem oddech i nie mogłem uwierzyć. My??? Trojana??? Wątpiłem w to, aby któryś z naszych developerów robił sobie jakieś dowcipy. Paczkę, którą aktualizowaliśmy, wydaliśmy w tamtym tygodniu i nikt nic nie zgłaszał. Mimo to wrzuciłem na serwer z mechanizmem do budowania paczek antywirusa i zacząłem skanowanie. Tak samo u klienta. Ma szczęście mamy do nich VPN. Najadłem się nie mało strachu, a jak się później okazało zupełnie niepotrzebnie.

ESET znajduje konie trojańskie… wszędzie

Problem nie dotyczył tylko naszych serwisów. Zagrożenia zostały wykrywane po wejściu na Onet, WP i Allegro. Przeważnie chodziło o skrypty JS. Takowe też znajdowały się w naszych serwisach. Informatyk naszego klienta kontaktował się w tej sprawie w ESET i okazuje się, że wypuścili nieprawidłowe szczepionki wraz z aktualizacją. Sprawę opisuje też Niebezpiecznik. ESET nie wydał jednak jeszcze oficjalnej informacji. Krążą też plotki, jakoby sypnęła się baza wirusów ESET w nocy z 28.02 na 29.02. Podobno wycofanie aktualizacji powinno pomóc.

UPDATE: Eset pracuje już nad usunięciem usterki.