webramz
تروجان swf iframe

تروجان (بد افزار) وب سایت – swf iframe تکامل می یابد.

سال گذشته تیم امنیتی پشتیبانی وردپرس در مورد بدافزار تزریق کننده موجود در فایل adobe flash گزارشی منتشر کرد. در آن گزارش نشان داده شده بود که چگونه یک فایل swf برای تزریق بدافزار iframe نامرئی مورد استفاده قرار می گیرد.

به نظر می رسد که نویسنده بد افزار Flash به این روش آلوده سازی ادامه داده است. در حال حاضر شاهد آلودگی های متنوع در هر دو برنامه wordpress و joomla می باشیم. هر چند معلوم نیست زمانی که این گزارش برای اولین بار ارائه شده چه تعداد از این آلودگی در محیط اینترنت وجود داشته است.

اکنون تعداد زیادی وب سایت که آلودگی های مشابه زیر را در بر داشته اند، مشاهده شده اند :

infected-site-name.com/images/banners/kxc.swf?myid=1d57987c38051fdc93ea7393b448003e

==========================

شناسایی آلودگی Flash

تشخیص شباهت های این بدافزارها آسان است و شما متوجه آنها میشوید. فایل بد افزار swf. همیشه در آدرس /images/banners ذخیره می شود و نام فایل سه کاراکتر تصادفی است که به دنبال آن swf. آمده است همراه با یک پارامتر ID که به آن اضافه شده است:

xyz.swf?myid=1d57987c38051fdc93ea7393b448003e

در اینجا فایل Flash جدا شده است : (جهت بزرگنمایی روی تصویر کلیک کنید)

کدهای بدافزار شباهت به آلودگی گزارش شده در ماه نوامبر دارند

همان هکر در حال فعالیت:

نام های متغیر، منطق برنامه نویسی و شرایط user agent همگی نشان دهنده این هستند که ظاهراً نویسنده بدافزار همان نویسنده قبلی است. همچنین با توجه به اینکه بیشتر وب سایت‌هایی که بر پایه جوملا بوده اند قبلاً تحت تأثیر قرار گرفته اند، سایت‌های وردپرسی آلوده شده به این بدافزار نیز مشاهده شده اند.

Ben martin یکی از اعضای تیم بازسازی، اشیاء فلش آلوده را که درون یک پایگاه داده میزبانی وردپرس تزریق شده بودند را با توجه به توضیحات گروه امنیتی وردپرس، پیدا کرد.

(جهت بزرگنمایی روی تصویر کلیک کنید)

آلودگی مشابه swf. پیدا شده در دیتابیس وردپرس

تأثیر ایجاد شده در مدت ۵ ماه:

در این زمان تعداد زیادی از سایت‌ها -چند صد سایت و شاید هم بیشتر- تحت تأثیر قرار گرفتند . در زمان گزارش اصلی این بدافزار در ماه نوامبر،در حدود نیمی از ابزارهای تشخیص محتوای مخرب این بدافزار را شناسایی کردند:

(جهت بزرگنمایی روی تصویر کلیک کنید)

VirusTotal: 23/57 vendors detect malicious content

بد افزار همواره تکامل پیدا می‌کند و مطمئنا تغییرات بیشتری نیز در آینده خواهیم دید. مطمئن باشید که تیم پشتیبانی هاست وردپرس یافته های خود را در هر زمان با شما به اشتراک میگذارد و اطلاع رسانی خواهد کرد. در این فاصله اگر شما در سایت خود با موردی مشابه آنچه گفته شد، برخورد کردید باید به دنبال یک پشتیبانی سایت وردپرس حرفه ای بگردید و با رفع مورد به کسب و کار خود ادامه دهید.

منبع:

https://blog.sucuri.net/category/joomla-security

تدوین و گردآوری: حبیبه سورانی

 

رتبه: 4.8 از 966 رأی

برچسب ها :

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *