Favicon ico вирус что это такое

Компьютерный вирус (далее просто вирус) – это программа. Бывают компьютеры с разной периферией, но наиболее уязвимыми являются сетевые устройства и сменные носители информации. Другими словами, на сегодняшний день, распространены лишь два способа проникновения вирусов (за ними числиться более 98% успешных атак). Таким образом, вирус проникает в компьютер пользователя либо по сети, либо посредствам сменных носителей информации. В учебных заведениях и в больших организация учащиеся / служащие вынуждены часто пользоваться флеш-носителями. Поэтому данный способ распространения вирусов доминирует.

Понятие о файле autorun.inf

Файл autorun.inf – это инструкция для операционной системы (размещаемая на сменном носителе информации) в отношении данных присутствующих на нем же. Используется разработчиками программного обеспечения в целях автоматического запуска инсталляционных пакетов в момент подключения сменного носителя. Файл не может иметь какое-либо другое имя, и не может содержать ничего, кроме текстовой информации (легко воспринимаемой человеком). Другие способы автоматической активации действий операционной системы в отношении данных на сменном носителе не распространены. Существует стандартный способ блокировки потенциально опасных действий операционной системы в отношении подключаемого флеш-носителя (об этом ниже по тексту).

Подключим пустой флеш-носитель к компьютеру. Обратим внимание, какая иконка закреплена за ним (см. рис. 1).

Рис. 1

Рис. 2

Отключим флеш-носитель и вновь подключим его к USB-порту компьютера. Обратим внимание – "Мой компьютер" теперь иначе отображает иконку флеш-носителя. Причина тому – созданные нами инструкции для операционной системы посредствам файла autorun.inf.

Рис. 3

Существуют сотни тысяч разных программ. Рабочие файлы каждой программы имеют свою иконку. Операционная система не может хранить их все. Иконки хранятся внутри исполняемых модулей (exe или dll) самих программ. Операционная система умеет извлекать иконки и показывать их. Выполните эксперимент. В папке c:\WINDOWS вы найдете файл hh.exe (программа запуска chm-файлов справочной системы). Скопируйте этот файл на флеш-носитель. Измените содержимое файла autorun.inf в соответствии с листингом 2. Создайте на флеш-носителе файл readme.htm, чье содержание приведено в листинге 3.

Сценарий использования файла autorun.inf программой-вирусом

Дзинь-дзинь-дзинь. Ало. Николай Васильевич? Это секретарь кафедры информатика. У нас заболел преподаватель Касюк Игорь Витальевич (см. далее, в скриншотах, папку kasuk). Вы не могли бы его заменить? Нужно провести занятия в той-то и в той-то аудитории, а скриншоты журналов есть на диске компьютера преподавателя лишь в одной из аудиторий. Понимая последствия для своего флеш-носителя и необходимость в дальнейшем потратить личное время на его очистку, тяжело вздыхаю и отвечаю секретарю. Хорошо, занятия проведу.

Рис. 4. Состояние флеш-носителя до заражения вирусом

Примечание. Для подобных безвыходных ситуаций имею флеш-носитель, на котором ни когда не храню большого количества файлов. Первоначальное состояние носителя представлено на рис. 4. Подключаю. Копирую файлы журналов для переноса в другой класс. Провожу занятия, возвращаюсь домой.

Приготовил еду, поел – стал добрее. Зажал клавишу Shift – заблокировал автозапуск содержимого на флеш-носителе (заблокировал часть действий ОС в отношении файла autorun.inf). И подключил флеш-носитель к USB-порту компьютера. Примечание. 15 лет работаю без антивирусной программы – пока везло – знания помогают. Поступать так же не призываю. Кроме того – Shift – не единственное действие, из предпринятых мной.

Рис. 5

Дабы написать данную статью и создать скриншот, представленный на рис. 5, вернул "настройки по умолчанию" для отображения папок операционной системой. См. галочки "Скрывать защищенные системные файлы", "Скрывать расширения для зарегистрированных типов файлов", и опцию "Не показывать скрытые файлы и папки" в диалоговом окне "Свойства папки" (см. рис. 6).

Анализируем скриншот представленный на рис. 5. Проводник операционной системы показывает то, что было на носителе первоначально (сравни с рисунком 4), и скопированную в компьютерном классе папку "kasuk". Вроде бы все так, как и должно быть. Но, как мы видим, окно проводника расположено над скриншотом окна файлового менеджера, на левой панели которого показано содержимое того же флеш-носителя. Разница существенная. В чем же причина? Что сделал вирус? Как можно добиться подобной маскировки? И каковы могут быть последствия при обращении к содержимому данного носителя?

Во-первых, существовавшим на носителе папкам вирус установил атрибут "скрытый" (файл или папка) (см. восклицательный знак на изображении папок в окне файлового менеджера). Во-вторых, вирус создал свои копии с именами, совпадающими с именами тех папок, что были на носителе (см. exe-файлы в окне файлового менеджера). В-третьих, вирус создал файл autorun.inf (с атрибутами "скрытый", "системный"), чтобы операционная система автоматически запустила его при подключении носителя. В-четвертых, вирус создал на носителе "Корзину" (RECYCLER) для удаленных файлов, куда тоже разместил свою копию.

Обратим внимание на копии вируса – exe-файлы, чьи имена совпадают с именами папок (DinZv.exe, gmv.exe, . см. рис. 5). Напомним – внутри этих файлов имеются иконки, которые отображает операционная система. Вся хитрость маскировки в том, что иконка внутри программы вируса – это иконка папки. Т.е. в проводнике мы видим не папку, а вирус. Еще раз напомним, что настроенный по умолчанию проводник не показывает расширений для зарегистрированных типов файлов. Т.е. если даже операционная система не выполнит инструкции в файле autorun.inf, то сам пользователь может запустить вирус (пытаясь открыть свои папки), не подозревая, что вирус замаскировался под их именами.

Если же проводник на компьютере пользователя показывает расширения зарегистрированных типов файлов, то пользователь может увидеть новые исполняемые файлы (вирусы) и удалить их. Но тут вирус подготовил третью ловушку. Напомним, что исходные папки с файлами пользователя вирус скрыл – пользователь их не видит. Но при этом вирус создал "Корзину" – папка и файл "RECYCLER" (забыл я сконфигурировать ОС, дабы корзина была видна в окне проводника на рис. 5). И, безусловно, пользователь попробует посмотреть, что же осталось в корзине, в надежде найти там свои файлы. Как вы догадываетесь – здесь опять имеется несколько сценариев запуска вируса.

Рис. 6

Если грамотно настроить проводник операционной системы (ищи упомянутые выше опции в скриншоте диалогового окна "Свойства папки", рис. 6), то все изменения на сменном носителе, которые произвел вирус, будут видны (сравни скриншоты на рисунках 5 и 7).

Рис. 7

Что же делать, вам в подобной ситуации? Лучший выход – форматировать флеш-носитель.

Понятие об "отпечатке пальца" для цифрового документа

Как же поступил я в сложившейся ситуации? Напомню – я был готов к тому, что мой флеш-носитель подвергнется вирусной атаке. Я купил самую маленькую и самую дешевую флешку. Т.к. знаю – чем меньше буду хранить файлов, тем легче мне будет (без антивирусной программы) избавиться от вируса и сохранить нужные файлы.

Как вы догадываетесь, я просто удалил все файлы, которые не копировал с чужих компьютеров собственными руками, т.е. те, о которых упоминал выше. Среди оставшихся файлов были документы "ворда" моего коллеги (см. содержимое папки "gmv" на рис. 8), которые представляли для меня интерес. Напомню, что документы "ворда" достаточно легко атаковать – встроить в них макровирус (вредоносную программу, написанную на языке VBA (Бейсик для приложений)). И вирус мог это сделать.

Перед тем, как копировать файлы с компьютера коллеги, я создал файл gmv.md5 (с помощью файлового менеджера Тотал Коммандер). Его содержимое можно видеть на правой панели скриншота окна файлового менеджера (см. рис. 8). В частности это текстовый файл, в котором есть цифровые коды и имена тех документов "ворда", которые я копировал с компьютера коллеги. Фрагменты кодов я записал в записной книжке.

Что же это за коды? И как они могут помочь ответить на вопрос – модифицировал ли вирус данные документы? Математики называют их хэш-функциями. Криптографы, в публичных документах, называют их дайджестами цифровых документов. Программисты – контрольными суммами. Авторы антивирусных программ – сигнатурами (signature). Фактически это эквивалент "отпечатка пальца" для цифрового документа. Главное свойство дайджестов цифровых документов в том, что если в исходном файле поменяется хоть один бит, то дайджест будет другим. Алгоритмы вычисления дайджестов опубликованы в ГОСТ-ах. Многие программы – файловые менеджеры, редакторы текстов, архиваторы, браузеры – могут вычислить дайджесты документов для сравнения. Модифицировать же документ и подогнать его содержимое под заданный дайджест – можно, но для этого вирусу надо захватить ресурсы всех компьютеров мира, и решать только эту задачу, на протяжении времени пока наше Солнце успеет сгореть 7 раз. Безусловно, вирус мог изменить содержимое файла gmv.md5 (что много проще). Но, во-первых, таких вирусов пока нет, а во-вторых – я записал дайджесты на бумаге.

Рис. 8

Удалив вирус, я вычислил Тотал Коммандером дайджесты документов, которые не хотел потерять. Сравнил их с записанными на бумаге. Обнаружил совпадение. И, почти со спокойной душой, скопировал файлы себе на жесткий диск. Помня о том, что вирус мог создать на флеш-носителе загрузочный сектор, прописать себя в нем – я выполнил форматирование флеш-носителя. Что произошло достаточно быстро – флешку то я купил самую маленькую :-). Остается открытым вопрос, как я открывал файлы "ворда" (ведь они могли быть поражены другим вирусом на компьютере коллеги еще до того, как я вычислил для них дайджест и скопировал), но это отдельная тема.

О ключе реестра ОС Windows "NoDriveTypeAutoRun"

Нажмите кнопку Пуск > Выполнить . Наберите имя программы regedit. Нажмите [OK]. Откроется редактор реестра операционной системы. Активируйте поиск имени параметра (ключа реестра) NoDriveTypeAutoRun. Таких ключей в реестре несколько (для учетных записей разных пользователей). Установите всем ключам значение 0xFF (в десятичной кодировке 255). Каждый бит байта упомянутого ключа отключает автозапуск на том или ином сменном носителе (D:, E:, F:, сетевой карте, беспроводном сетевом файловом сервере, . ).

А что бы произошло, если бы вирус был запущен?

Не знаю. Прошли те времена, когда вирусы писали ради баловства. Вирус должен приносить ту или иную выгоду своему создателю и оставаться при этом незамеченным. Т.е. вирус должен скопировать себя на ваш жесткий диск. Прописать себя в раздел реестра, отвечающий за автоматическую загрузку программ при включении компьютера. Перехватывать все последующее обращения к зараженным съемным носителям с целью передачи программам незараженных, исходных файлов (дабы вы ничего не замечали, а носитель оставался зараженным). И начать действовать так, дабы денежных средств у вас осталось меньше, а у автора вируса – больше.

Если остались вопросы – задайте их Яндексу.

PS. Забыл сказать. После инсталляции на ваш компьютер вирус должен по настоящему выполнять функции антивирусной программы. Как вы понимаете, с той целью, дабы не допустить конкурирующие вирусы на ваш компьютер.

И ещё один совет. Когда вам будут попадаться компакт-диски с "ворованными" версиями Офиса, попробуйте изучить свойства файлов инсталляционных пакетов. В частности, рекомендую обратить внимание на цифровые подписи. Возможно, как и я, вы будете озадачены.

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Разговор в сегодняшней статье пойдет о так называемых иконках Favicon.ico. Мы разберемся, что такое фавикон, почему в обязательном порядке его нужно устанавливать на своем сайте и как самому создать иконку нужного размера.

Чуть ранее я уже писал про то, где можно взять иконки для сайта и упомянутые там сервисы (в той статье) можно использовать для поиска подходящих вариантов Favicon.ico, но есть и специальные онлайн-генераторы (favicon generator), как отечественные, так и зарубежные, а также специализированные коллекции и галереи с подходящими по размеру фавиконами. Ну, и естественно мы поговорим о том, как настроить и подключить их к своему сайту.

Что такое Фавикон и зачем он нужен для сайта

По сути Favicon — это обычный значок (изображение небольшого размера 16 на 16 пикселей, иконка). Но для владельца сайта он может очень много значить. Однако, обо всем по порядку.

Раньше картинку Favicon вы могли видеть в адресной строке браузеров, перед URL-адресом открытой страницы (в моем IE9 так до сих пор и осталось), но после того, как все браузеры стали поддерживать вкладки, то данный значок мигрировал как раз на эти самые вкладки. Зато, когда их открыто очень много, именно фавиконы позволяют понять какая вкладка какому сайту соответствует:

Само собой, что и свое изначальное значение Favicon.ico не утратил, он по-прежнему используется в закладках всех браузеров для быстрого визуального поиска нужного сайта среди тысяч закладок (взгляните на верхнюю панель вашего обозревателя и убедитесь в этом).

А также, что немаловажно, поисковая система Яндекс отображает Favicon в своей выдаче (результатах поиска) для каждого ресурса, если у него этот значок будет иметься (был добавлен и правильно настроен владельцем сайта, а робот Яндекса успел уже его проиндексировать).

У Яндекса имеется специальный бот для индексации фавиконов под названием YandexFavicons (у них даже апдейты бывают, после которых и имеет смысл проверять наличие нового и обновленного Favicon.ico рядом с вашим сайтом в выдаче), в задачу которого входит сбор и обновление иконок для всех сайтов. Робот Яндекса, специализирующийся на их индексации, посещает сайты с периодичностью от нескольких дней до одного месяца (апы, соответственно, очень редкие получаются).

Поэтому не стоит ждать того, что недавно созданный в online generator или сделанный самостоятельно фавикон сразу же появится в поисковой выдаче Яндекса рядом с описанием вашего ресурса. Должно будет пройти какое-то время. Яндекс, после того как найдет Favicon.ico у вас на сервере, преобразует ее в формат PNG (из графического формата ICO) и с этого момента фавикон вашего сайта будет доступен по адресу:

Естественно, что для проверки своего сайта вам нужно будет в конце приведенной ссылки вместо URL-адреса моего блога написать свой.

Если у вашего проекта Favicon еще не настроен, то самое время задуматься о его создании и установке, т.к. это позволит вам привлекать большее количество посетителей с страниц Яндекса (из поисковой выдачи), ибо рядом с адресом вашего проекта будет красоваться эта иконка, побуждая пользователей выбрать вас, а не соседа по выдаче).

В принципе, Favicon.ico нужного размера вы можете сделать и сами, так же у вас будет возможность создать его с помощью онлайн генераторов (из загруженных вами картинок) или же просто скачать целиком их online коллекцию или галерею.

Важно, чтобы используемый вами фавикон привлекал внимание, ибо именно это может привести к существенному увеличению количества посетителей, пришедших к вам с поиска. Да и пользователи будут чаще находить ваш сайт среди множества открытых в браузере вкладок или среди сотен закладок.

В принципе, чтобы создать favicon, вовсе не обязательно использовать какие-либо специальные онлайн генераторы, хотя это довольно удобно и просто. Можно попытаться сделать его в Photoshop, но он по умолчанию, к сожалению, не умеет сохранять изображения в формате ICO. Поэтому для того, чтобы научить Фотошоп работать с ICO, нужно будет установить специальный плагин.

Но если с Фотошопом вы не на дружеской ноге (равно как и с его бесплатной онлайн версией), то вам будет гораздо удобнее воспользоваться одним из многочисленных онлайн-сервисов приведенных ниже. При этом в некоторых из них вы сможете полностью с нуля нарисовать новую иконку, а в других сможете переделать уже имеющуюся у вас картинку (которая вас устраивает) в формат фавикона.

Ну, а самый простой вариант — это скачать коллекцию Favicon-ок из какой-нибудь онлайн галереи или каталога. О том, где ими можно будет разжиться, читайте чуть ниже.

Как создать Favicon онлайн и где можно скачать их коллекцию

Давайте я сначала приведу примеры сервисов (так называемых favicon generator), где можно не имея особых навыков сконструлить вполне себе достойный мини-логотип для своего сайта, ну, или хотя бы автоматом переделать подходящую картинку в формат, необходимый для загрузки фавикона на сайт.

Для того, чтобы создать фавикон, сначала необходимо ввести название сайта или компании и выбрать вид деятельности. Сервис предложит готовые к использованию несколько десятков шаблонов фавикона. Более подробно, как создать фавикон, можно прочитать здесь. После создания Favicon.ico, вы можете скачать файл к себе на компьютер в формате ICO или PNG.

Если вам по каким-либо причинам не понравились описанные выше favicon generator, то могу предложить попытать счастье на одном из следующих бесплатных онлайн-сервисов:

Если вам наплевать на эксклюзивность вашего мини-логотипа для сайта, а возиться с редакторами и генераторами влом, то можно будет себе подобрать подходящую иконку на сайтах, где их пруд пруди. Ведь нам, по сути, подойдет абсолютно любая иконка размером 16 на 16 пикселей, которую вы можете скачать из сети или найти в недрах своего компьютера.

Но нужно помнить, что фавикон прежде всего должен привлекать внимание пользователей. В идеале, пользователь должен будет узнавать ваш сайт по одному лишь взгляду на Favicon, поэтому лучше, если он будет уникальный, но можно будет также поискать что-нибудь не заезженное в закромах интернета.

Если у вас нет желания или возможности (вы не художник и ни когда им не были), то проще всего будет попробовать поискать в галереях с коллекциями бесплатных фавиконов:

1. Iconj — достаточно большая коллекция значков, разработанных другими людьми и выложенных в общий доступ
2. Favicon.cc — 55 тысяч различных вариантов на все случаи жизни. Имеются также анимированные фавиконы, которые правда будут видны только в браузере FireFox
3. The Favicon Gallery — еще чутка подходящих по размеру иконочек

Если вы знаете еще какие-то подобные ресурсы, то я добавлю ваши ссылки в этот список.

Как установить Favicon на сайт и прописать путь до него

Ваш браузер и поисковый робот Яндекса будут искать фавикон прежде всего в корневой папке вашего сайта. Поэтому можно просто подключиться к сайту по FTP и загрузить в его корневую директорию (обычно это папки public_htm или htdocs ) ваш файлик Favicon.ico (лучше его название писать с маленькой буквы). Откройте теперь ваш ресурс в каком-нибудь браузере и посмотрите, не поменялась ли пиктограмма на вкладке. Поменялась? Нет? Ну, ничего страшного.

Если поставить фавикон таким образом у вас не получилось, то возможно вам придется очистить кэш вашего браузера, т.к. часто бывает, что из кэша загружается старая версия. Можете попробовать открыть ваш сайт в FireFox, у меня он лучше всего реагирует на проводимые изменения без очистки кэша. Если дело не в кэше браузера, то это значит, что для вашего сайта задано другое место для favicon, отличное от корневой папки. Как это проверить?

Она может выглядеть примерно так:

В Joomla Favicon обычно живет в папке с используемым вами шаблоном (путь до нее в Joomla 1.5 прописывался в файле index.php из каталога этого же шаблона,а вот в Joomla 3 все стало несколько сложнее). Т.е. для смены фавикона в Джумле достаточно будет пройти по этому пути и залить туда свой файлик favicon.ico, а на вопрос о замене ответить утвердительно:

Файлик favicon в WordPress по умолчанию тоже может лежать в папке с используемой вами темой (там же и задается путь до него):

В общем, если хотите задать или поменять путь до вашего фавикона, который бы поняли и браузеры, и поисковый робот Яндекса, то вам нужно будет прописать в соответствующем файле шаблона Joomla, WordPress или любого другого движка, между открывающим и закрывающим тегами HEAD, следующие строчки кода:

В каком именно файле шаблона нужно прописать эти строки, зависит от движка вашего сайта. Например, в в WordPress вам нужно открыть на редактирование файл header.php из папки с используемой вами темой оформления: wp-content/themes/Папка_с_вашей_темой_оформления . Открываете header.php в редакторе и в самом его начале находите открывающий Html тег HEAD. В любом месте за ним, но до закрывающего HEAD прописываете одну из приведенных выше строчек кода с указанием пути до вашего графического файла мини-логотипа.

Как установить анимированный фавикон? В принципе, точно так же, как и обычный. Будет отличаться только код, вставляемый в шаблон вашего сайта, с помощью которого вы указываете браузерам и поисковому роботу Яндекса путь до нужного графического файла. Дело в том, что анимированный Favicon будет иметь расширение GIF, и, следовательно, в строках кода нужно будет прописать примерно так:

Вот и вся разница между анимированными favicon и обычными. Но следует учесть, что будет работать анимированная иконка только в FireFox, в остальных же браузерах она будет статичной. Яндекс же, при загрузке вашего анимированного фавикона, преобразует его в статичный формат PNG. Но, по-моему, овчинка выделки не стоит — устанавливать вместо обычного мини-логотипа для сайта анимированный не имеет особого смысла. Но это только мое ИМХО.

Do you suspect your site is infected with spam? Are you seeing content on your site that you don’t recognize? Do you see your site ranking for keywords for counterfeit or illegal products? It’s likely that your website is a victim of the favicon.ico virus.

This infection enables hackers to inject files on to your web server. These files contain malicious php code that could perform dangerous actions such as create rogue admin accounts or install spyware.

Next, the hackers deface your site, steal data, and launch bigger hack campaigns! This leads to Google blacklisting and webhost suspension. As a result, your traffic drops, your revenue plummets causing severe damage to your business.

If you’re lucky, your web host will notify you that your website is hacked and email you the details. If you’re unsure if it’s the favicon virus, don’t worry. There are ways to scan and clean the hack.

In this article, we’ll show you how to identify the favicon.ico virus easily. We’ll also take you through the steps on how to fix and prevent it.

TL;DR

The infection caused by the favicon.ico virus can randomly spread through your WordPress website making it hard to detect. Install MalCare’s automated plugin to detect the malware and clean it instantly. Your website will be free of the favicon malware in no time!

What is Favicon.ico Malware?

To address this, we first need to understand the favicon.ico file.

Favicons – Favicons are small icons that display in a browser tab next to the website’s name. These icons also appear in bookmarks or as smartphone app icons.

ICO – ICO is an image file format just like JPEG and PNG. Modern browsers use ICO, JPEG, PNG or GIF files to display favicons.

Now, let’s understand the favicon.ico malware. Hackers exploit vulnerabilities on your website to gain access to your site.

Once inside, attackers create malicious files and name them “favicon.ico”. These malicious favicons usually have a randomized string of characters and numbers in it such as ‘favicon_bdfk34.ico.’

Note: A hacker can create any file such as an HTML or JavaScript file and name it .ico. If you see a .ico file, it need not necessarily be an image.

Some of the usual things hackers do in a favicon.ico hack are:

1. 1. Inject malicious coding into your website’s files. They also create their own files at random locations.
   2. Spam the website’s server with malicious files.
   3. Run phishing scripts to steal valuable data of the website and its customers.
   4. Redirect visitors to phishing or malicious websites.
   5. Send encrypted data through hidden favicon files on the website that could be criminal in nature.
   6. Install spyware on the website that infiltrates your computing device, steals your internet usage data and sensitive information.
   7. Trick site visitors into downloading malware and ransomware on to their computers.
   8. Create a new admin account so that they can easily access your site again.
   9. Insert a hidden backdoor that allows them to enter even if you delete the new admin account.

How to Detect the Favicon Virus?

The favicon virus is particularly difficult to detect because hackers disguise their malicious scripts. They also spam your website’s files and the malicious script could be spread through all your folders and files.

There are two ways to find a favicon virus – manually or using a plugin. The manual method is tedious and risky. As we mentioned, the virus could be peppered through your core files. This makes it hard to detect. However, if you want to know how the manual method works, we’ve covered it later in this section.

If you suspect that your website is infected with a favicon.ico virus, you need to detect and clean it up promptly. We strongly recommend opting for a plugin as it will get the job done quickly.

Using a plugin is the easiest way to detect favicon malware. There are many plugins available in the market, however, not all are effective. To beat this infection, you need a solution that will run a deep scan of your site and ensure nothing has been missed.

Today, we’ll show you how to use the MalCare Security Plugin. The reasons we recommend MalCare are aplenty. Let’s take a look:

• • With other plugins, you have to first purchase their plan in order to run a scan. With MalCare, the first scan is free! This allows you to scan your site and check if there’s malware present first before you proceed to sign up for any plans.
  • Many plugins use outdated methods of detecting malware. They look for malicious code that’s already been discovered. Thus, new and disguised code would go undetected. MalCare’s scanner overcomes this hurdle and leverages smart signals that identify malicious code. It can find new malware and even hidden or disguised codes by checking the behavior of codes.
  • There are some virus scanners that only check folders in which they think malware will be placed. However, with the favicon virus, hackers can place it in just about any folder on your website. You need a scanner that will scan every inch of your site and not cherry-picked folders. MalCare runs a complete scan of your site so you needn’t worry about missing any areas.
  • The one-time set up is easy and fast. You shouldn’t face any hassles or delays. But even then, MalCare provides a 24×7 support team to answer any doubts or queries you might have.

With these features, you can rest assured the scanner will find every trace of the virus.

To use MalCare, follow these steps:

2. Go to the plugin and select ‘Malware Scan’ and scan your site.

3. The scanner will comb through all your website’s files and folders. Once complete, MalCare will report how many infected files are present.

Now that you’re sure there’s malware on your WordPress site, you need to remedy the situation and restore your site back to normal immediately. The longer you allow the malware to manifest on your site, the more damage it will do. So without any delay, let’s start cleaning your hacked site!

How to Remove the Favicon Malware?

To clean your site, we recommend using the MalCare plugin. Here’s why:

1. 1. Most plugins follow a long process that involves submitting a ticket. Then, they assign a security analyst to your case who cleans it manually. This can take hours up to days! MalCare has an automated cleaner that requires a single click to run the cleaning process. It takes only a few minutes.
   2. Most plugins need you to disclose your wp-admin credentials and your FTP credentials in order for them to access your site and clean it. As MalCare is automated, you don’t need to disclose sensitive information to a third-party.
   3. The malware cleaner uses a method that removes all malicious code without breaking your website.
   4. Your website will be protected against future attacks as MalCare puts up a strong firewall and proactively defends your site.
   5. Your site will be auto-scanned daily for any suspicious activity or malware.

Let’s get started with cleaning your site.

• • On the page where MalCare displays how many hacked system files it has found, you will see an option to upgrade.

Note: As the malware removal process is complex and needs adequate resources, it is a paid service. While there are free services, they only run surface scans and cleans. When it comes to security, it’s best to choose a trusted and reliable option.

• • Once you upgrade, an option to ‘Auto-clean’ will appear. Simply click on this button and sit back.

• • In a few minutes, the plugin will clean your site and display a prompt that your site is clean. That’s it, you’re done!
  • We recommend visiting your website to make sure everything is back to normal. You can even run a second scan to double-check.

Your website will be free of the favicon.ico malware.

Note: If you’ve been blacklisted by Google on account of the presence of malware, we recommend our guide – How to Remove Google Blacklist.

If this method isn’t for you, we’ve detailed the manual method of detecting and cleaning favicon viruses below.

How to Manually Detect and Clean Favicon Virus?

Before we begin, we must warn you that this method carries a great amount of risk. You need to have the adequate technical knowledge to carry out these steps. We don’t recommend this method even if you’re an expert with the inner workings of WordPress. This is simply because even a slight misstep can cause your website to break.

Caution: This method could cause loss of data and damage to your site. Please take a complete backup of your website before you proceed.

Hackers are found to hide the favicon.ico virus in all sorts of files and folders. Open your hosting account and access cPanel > File Manager.

Find your website’s folder. This is usually named public_html.

We recommend looking for files named ‘favicon’ in every folder of your website. Pay special attention to the following folders:

• • /plugins, /extensions, /components, /modules, /uploads, /media, /themes, /templates, or /skin folders.

Once you find these files, you need to analyze them. Check for strings like “ALREADY_RUN_”, followed by a random string. Look for keywords like ‘base64’ and ‘eval’. You can also tell it’s a malicious php file if the script is completely encrypted. Here’s an example of what a favicon.ico virus looks like:

Once you identify the files, you need to delete them to get rid of the malware. Be cautious here as there may be other elements or files that are dependent on these files. Deleting such files can break the dependency and crash your site.

We mentioned earlier that hackers also create backdoors so that they can access your site when they want. You need to identify these malicious codes and delete them as well. Backdoors are usually hidden very well so it’s difficult to detect manually. Refer to our removal guide on How to Get Rid of Website Backdoors.

With that, your website should be clean of the favicon.ico malware. However, there’s no guarantee that it’s gone completely. Such attacks work like cancer. Even after all the treatment possible, even if a single cell survives, it’s enough for the whole hack to reappear.

Once you’re sure you’ve removed all traces of the virus files, we can proceed to prevent favicon.ico malware.

How to Protect Your Website From Favicon.ico Malware?

Your website was hacked because there was a vulnerability present that enabled hackers to gain access. You need to find the vulnerability that caused your site to get hacked in the first place and seal it.

1. 1. Use a security plugin to regularly perform virus scan on your website.
   2. Make sure your WordPress core installation is updated to the latest version.
   3. Update all themes and plugins to the latest version.
   4. Delete any rogue admin users.
   5. Delete any plugins that you don’t recognize and are sure you didn’t install.
   6. Then, delete all unused plugins and themes that are installed on your site.
   7. If you’ve installed any pirated or cracked software, delete it immediately. These versions usually carry pre-installed malware.
   8. Take measures to increase the security of your website. Follow our guide on How to Harden Your WordPress Site.

Once done, we’re confident your website is secure from the favicon.ico malware.

Final Thoughts

We’ve had clients who have faced favicon malware on their sites. At first, they tried the manual method only to find their site hacked over and over again. If you are not sure, you can check if your website is hacked.

Delays in fixing a hack lead to severe damage to content, brand, and reputation. Sometimes, the damage is so bad it’s irreparable.

You simply can’t afford to make compromises when it comes to website security. This is why we strongly recommend opting for a WordPress security plugin such as MalCare that will guarantee your site is secured. You can read more about this topic on stack overflow and stack exchange websites.

You can have peace of mind knowing your site is monitored around the clock. The website firewall blocks hackers from visiting your site and alerts you if it detects suspicious activity.

Secure your WordPress Website with MalCare!