ionCube Malware infekterad många webbplatser

Computer Security News

SiteLock säkerhetsexperter har funnit att hundratals webbplatser baserat på WordPress, Joomla och CodeIgniter blev smittad av ionCube malware.

ionCube malware är en kodningsteknik som används för att skydda PHP programvara från att visas, ändras och köra på olicensierade datorer.

Samtidigt analysera en infekterade WordPress webbplats, experterna hittade många misstänkta filer, såsom ”diff98.php” och ”wrgcduzk.php”, förklädd som legitim ionCube-kodade filer att lura offren. Enligt forskarnas analys smittades hundratals webbplatser av exakt samma ionCube malware.

”Medan du granskar en infekterad plats, den SiteLock forskargruppen funnit ett antal misstänkt namngivna, förvrängd filer som visas nästan identisk till legitima ionCube-kodade filer. Vi fastställt misstänkta ionCube filer var skadlig, och fann att hundratals webbplatser och tusentals filer påverkades ”. SiteLock analys staterna.

”Sammantaget vår undersökning hittade över 700 infekterade webbplatser, på totalt över 7 000 infekterade filer”.

Bortsett från de webbplatser baserat på WordPress, avslöjade djupare analys av malware att hackare äventyras Joomla och CodeIgniter webbplatser samt.

Teoretiskt, parasiten kunde infektera någon webbplats baserat på en webbserver med PHP, en gång avkodas, de falska ionCube filerna komponera ionCube malware.

”Medan det finns fortfarande en viss förvirring, förekomsten av den $_POST och $_COOKIE superglobals och eval begäran i slutet av filen avslöja dess verkliga syfte: att godta och verkställa distans levererade koden”. analysen läser.

”It ser ut som den kod tillhandahålls till den här filen är mer förvrängd och där kan vara någon slags tillgång kontroll genomförs, att döma av de GUID-formaterad sträng närvarande”.

Dessutom säkerhetsexperter rekommenderas administratörer att kontrollera förekomsten av ionCube-kodade filer på systemet som en indikator på kompromiss.

I fall en infektion upptäcks, rekommenderas skanning av hela webbplatsen, att helt eliminera hotet. Antagandet av en brandvägg för webbaserade program (WAF) är också obligatoriskt.

”Om du hitta indikatorer av denna infektion, vi rekommenderar starkt att ha din webbplats genomsöks efter skadlig kod så snart som möjligt, eftersom detta malware sällan visas på egen hand”. analysen drog slutsatsen.

”Detta är särskilt viktigt om du använder en ionCube-kodade program, som manuellt differentiera de skadliga filerna från de legitima är svårt, och det är vanligt att se upp till 100 lite olika varianter av skadlig kod på en enda plats”.


Leave a Reply

Your email address will not be published. Required fields are marked *