ionCube Malware zainfekowany wiele stron internetowych

Computer Security News

Usługa SiteLock zabezpieczeń eksperci odkryli, że setki stron opartych o WordPress, Joomla i CodeIgniter został zainfekowany przez złośliwe oprogramowanie ionCube.

ionCube malware to technologia kodowania używany do ochrony oprogramowania PHP jest zarezerwowane, zmienione i być uruchamiane na komputerach bez licencji.

Podczas analizowania zainfekowane witryny WordPress, eksperci znaleziono wiele podejrzanych plików, takich jak “diff98.php” i “wrgcduzk.php”, przebrany za uzasadnione ionCube-zakodowane pliki oszukać ofiar. Według naukowców analizy setki stron internetowych zostały zainfekowane przez dokładnie tej samej złośliwego oprogramowania ionCube.

“Podczas przeglądania zainfekowanej strony, zespół SiteLock badania wykazały szereg podejrzanie nazwane, posiadający mylącą pliki, które wydają się być niemal identyczne do legalnych ionCube-zakodowane pliki. Ustaliliśmy, że podejrzane pliki ionCube były , złośliwy, i stwierdził, że setki stron i tysiące plików zostały naruszone. “ Usługa SiteLock analizy państwa.

“Ogólnie rzecz biorąc, nasze dochodzenie wykazało ponad 700 zainfekowanych stron, o łącznej wartości ponad 7000 zainfekowane pliki.”

Oprócz witryn w oparciu o WordPress głębszej analizy złośliwego oprogramowania ujawniła, że hakerzy złamany witryn Joomla i CodeIgniter, jak również.

Teoretycznie pasożyt może zainfekować dowolnej strony internetowej w oparciu o serwer sieci web PHP, raz dekodowane, komponować fałszywe pliki ionCube ionCube malware.

“Choć jest jeszcze w pewnym stopniu zaciemniania, obecność $_POST, $_COOKIE superglobale i eval żądanie na końcu pliku ujawniają jego prawdziwy cel: aby zaakceptować i wykonać zdalnie kod podany.” Analiza odczytuje. “To wygląda jak zdalny kod dostarczony do tego pliku jest dalsze mylącą i tam może być pewnego rodzaju kontroli dostępu zaimplementowana, sądząc po GUID sformatowany ciąg obecny.”

Ponadto Eksperci bezpieczeństwa zaleca administratorom sprawdzania obecności ionCube-zakodowane pliki w systemie jako wskaźnik kompromis.

W przypadku wykrycia infekcji skanowanie całej strony internetowej jest wysoce zalecane, aby całkowicie wyeliminować zagrożenie. Ponadto przyjęcie zapory aplikacji sieci web (WAF) jest obowiązkowe.

“Jeśli możesz znaleźć wskaźniki tego zakażenia, zalecamy po skanowane w poszukiwaniu złośliwego oprogramowania tak szybko, jak to możliwe, jak Szkodnik ten rzadko pojawia się na własnej witrynie.” Analiza zawartych.

“Jest to szczególnie ważne, jeśli używasz ionCube-zakodowane aplikacji, jak ręcznie różnicując szkodliwe pliki z uzasadnione ones jest trudne, i to jest wspólny wobec zobaczyć do 100 nieco różnych wariantów tego złośliwego oprogramowania w jednym miejscu.”


Leave a Reply

Your email address will not be published. Required fields are marked *