Nhiễm phần mềm độc hại ionCube rất nhiều các trang web

Computer Security News

Chuyên gia bảo mật SiteLock đã tìm thấy rằng hàng trăm trang web dựa trên WordPress, Joomla, CodeIgniter đã bị nhiễm phần mềm độc hại ionCube.

Phần mềm độc hại ionCube là một công nghệ mã hóa được sử dụng để bảo vệ phần mềm PHP từ là xem, thay đổi, và chạy trên máy tính không có giấy phép.

Trong khi phân tích một trang web WordPress bị nhiễm bệnh, các chuyên gia tìm thấy nhiều tập tin đáng ngờ, chẳng hạn như “diff98.php” và “wrgcduzk.php”, cải trang như là hợp pháp ionCube-mã hóa các tập tin để lừa nạn nhân. Theo các nhà nghiên cứu phân tích, hàng trăm trang web bị nhiễm bởi chính xác phần mềm độc hại ionCube tương tự.

“Trong khi xem xét một trang web bị nhiễm, nhóm nghiên cứu SiteLock tìm thấy một số tập tin đáng ngờ tên, obfuscated xuất hiện gần như giống hệt nhau để hợp pháp ionCube-mã hóa tập tin. Chúng tôi xác định các tập tin đáng ngờ ionCube là độc hại, và tìm thấy hàng trăm các trang web và hàng ngàn tập tin bị ảnh hưởng. “ kỳ phân tích SiteLock.

“Nói chung, chúng tôi điều tra tìm thấy các trang web bị nhiễm hơn 700, tổng cộng hơn 7.000 nhiễm tệp.”

Ngoài các trang web dựa trên WordPress, các phân tích sâu hơn về phần mềm độc hại tiết lộ rằng tin tặc xâm phạm Joomla và CodeIgniter các trang web như là tốt.

Về lý thuyết, ký sinh trùng có thể lây nhiễm bất kỳ trang web nào dựa trên một máy chủ web chạy PHP, khi giải mã, các tập tin giả ionCube soạn phần mềm độc hại ionCube.

“Trong khi vẫn còn một số mức độ obfuscation, sự hiện diện của $_POST và $_COOKIE superglobals và yêu cầu eval ở phần cuối của tập tin tiết lộ mục đích thực sự của nó: để chấp nhận và thực hiện từ xa cung cấp mã.” Các phân tích đọc. “Nó trông giống như mã từ xa cung cấp cho các tập tin này thêm obfuscated và có thể có một số loại điều khiển truy cập thực hiện, đánh giá bởi các GUID định dạng chuỗi hiện tại.”

Ngoài ra, các chuyên gia an ninh cảnh báo quản trị viên để kiểm tra sự hiện diện của ionCube-mã hóa các tập tin trên hệ thống như là một chỉ báo của sự thỏa hiệp.

Trong trường hợp nhiễm trùng được phát hiện, quét toàn bộ trang web rất khuyến khích, để hoàn toàn loại bỏ các mối đe dọa. Ngoài ra, việc nhận con nuôi của một trang web ứng dụng tường lửa (WAF) là bắt buộc.

“Nếu bạn tìm thấy các chỉ số của nhiễm trùng này, chúng tôi khuyên các bạn có trang web của bạn được quét phần mềm độc hại càng sớm càng tốt, như phần mềm độc hại này hiếm khi xuất hiện trên riêng của mình.” phân tích kết luận.

“Đây là đặc biệt quan trọng nếu bạn đang sử dụng một ionCube-mã hóa các ứng dụng, như tự phân biệt các tập tin độc hại từ những người hợp pháp là khó khăn, và nó là phổ biến để xem các biến thể khác nhau một chút lên đến 100 phần mềm độc hại này trên một trang web duy nhất.”


Leave a Reply

Your email address will not be published. Required fields are marked *