Hỏi cách giải quyết khi website dính Malware roxlock.com

[Vượng Đào]

Chào mọi người!
Tình hình là đầu tuần rồi mình có phát hiện 1 đoạn mã độc trên trang web (admin page) của công ty. Sau khi tìm hiểu sơ thì có nghi vấn là do máy laptop của 1 bé trong công ty đã từng click link lạ và sau đó trong quá trình sử dụng trang admin, có sử dụng ckEditor và nó tự động chèn đoạn mã độc đó vào trong field của Database luôn.
Hiện tại mình vẫn chưa biết chính xác đoạn code này là do máy bé đó dính virus và tự chèn khi gặp editor hay là do extension nào đó trên browser (Mình đã kiểm tra các extension trên Chrome nhưng không có gì lạ).
Đoạn mã đó như dưới hình này


https://i.imgur.com/UVOogoe.png
Lưu ý đừng thử vào link trong hình nhé


Mình có lên mạng tìm hiểu sơ về con malware này nhưng không có nhiều thông tin và mình có kiểm tra thử trang web nghi là malware roxlock.com và có được một số thông tin nhưng mình không chuyên về bảo mật nên cũng k rõ là con malware này nó làm những gì. Ai có thể đọc hiểu các thông tin từ 2 trang này hoặc có hướng giải quyết thì cho mình biết với nhé.


https://app.any.run/tasks/dcdae392-7804-4d0f-9e5a-2da591300543/
https://www.hybrid-analysis.com/sam...58cba97d4ebaa1a7df67d52a77928b969a63092d179fb

Cảm ơn mọi người trước nhé!!!

 

Cách check extension thì chuyển sang máy khác bác. . Còn code mình sẽ xem chi tiết giúp bác.

 

Lúc nãy có test thử thì đoạn mã độc trên chỉ được thêm ẩn tự động khi có plugin WYSIWYG được sử dụng thôi.
Mình test thì hiện tại chỉ bị trên Chrome, Edge thì không bị nên mình nghi là thằng roxlock này chỉ tác động trên trình duyệt mà đã vào trang đó chứ không phải toàn bộ máy tính cũng như các trình duyệt khác. Để mình thử gỡ hoàn toàn Chrome rồi cài lại xem còn bị hay không.

 

Sau khi mình thử xóa hoàn toàn (advance) trình duyệt Chrome thì dường như virus không còn nữa. Trước mắt thì website mình đang không bị spycode nữa. Nhưng chưa biết có ảnh hưởng tới máy cá nhân đã bị virus hay không.