Le premier n'utilise, pour une fois, aucune technique de dissimulation.
Le second diffère totalement des codes jusqu'alors rencontrés.
Ayant conservé chacune des versions, j'ai pu observer que chaque code était accompagné d'un commentaire contenant une chaîne invariante. Sa forme laisse à penser qu'il pourrait s'agir d'une somme crytographique, un MD5 peut-être, probablement utilisée comme marqueur d'infection spécifique au site. Si tel est le cas, il peut être intéressant de conserver cette ligne après éradication du code. J'ai donc modifié mon script PHP de nettoyage en conséquence.
L'avenir permettra de confirmer l'hypothèse: une nouvelle modification des pages permettra d'éliminer l'hypothèse d'un marqueur évitant d'infecter deux fois la même page. L'absence de nouvelles modifications ne permettra cependant pas de conclure avec certitude sur le rôle de cette séquence.
A suivre...
Aucun commentaire:
Enregistrer un commentaire