[WordPress] WP_VCD 盜版軟體病毒解析

下方 Gist 是 WordPress 盜版軟體裡出現的 WP_VCD 病毒碼抽樣,連結點進去不會中毒的XD

WP_VCD 病毒碼取樣

名為 WP_VCD 的廣告病毒,之前小聚才聽夥伴說有中過,這次也意外在一個測試站發現它的蹤影。

影響檔案

  • wp-includes/wp-feed.php
  • wp-includes/wp-tmp.php
  • wp-content/themes/..../functions.php

奇怪的是公司沒人對中鏢的那外掛有安裝印象(疑)

我之所以會自己準備一個WordPress 外掛使用清單,也是因為這些在日後都是需要追蹤的,不信任的外掛都不能用,徒增自己維護困擾。所以要安裝外掛只有兩個來源:WordPress 後台搜尋安裝與購買外掛的官網

說起來這款病毒真是有意思,專挑那些貪小便宜要「試用」的人,換個說法就是「這些人是默認且同意病毒在他網站上發作的」,所以網站因此壞了沒話說。(猴~)

就工程面來說的有意思是該病毒有「自我毀滅」與「隱藏主體」和「備援」機制。源碼也不太隱藏和加密,反正等發作後就毀滅不讓你知道哪來的~

而「備援」還分要安裝壞東西到你網站的時候可以用遠端請求控制是否要更新來源,以及會怕你發現去清除的自我複製能力,把一些檔案都順便感染一波!

是說「自我毀滅」後怎還可以被我找到? 就是因為我有自己的常用外掛清單!比對站上出現的外掛,就能找到有一款特別可疑。清查原始碼也發現有怪怪寫法的地方,當下看起來就是一個可以用的正常軟體。但還是懷疑,後來乾脆網路上找盜版下載比對,就看到原始碼中有這個功能,厲害。(盜版網站可是連會員註冊都不用,給你點了就下載,多方便啊)

「隱藏主體」的意思是發作對象選定,如果是管理員,有登入後台權限的人都不會發作,讓當事人沒感覺,超賤耶,哈哈

不過就只有針對檔案下手,掛廣告部分都是透過 WordPress Hooks 機制處理,不是資料庫注入,也是這樣才可以選定角色發作。

清除這病毒不太有難度,但估計不懂的人可能上網找了一些方法給他用下去,結果只是去安裝新的病毒(?)

Oops!

我這人站在「良善是一種選擇」的立場,所以不會特別去酸使用盜版而受害的人,但這件事實在很難分的清楚誰是真正受害吼? 我比較好奇被盜版的軟體業者業績會因為這樣變好還是變差呢?(喂)

#WordPress #安全性 #新聞資訊 #技術相關 #網站被駭 #外掛 #盜版軟體 #廣告病毒

- Powered by Mxp.TW -FB2WP-

Facebook 外掛功能


Share:

作者: Chun

資訊愛好人士。主張「人人都該為了偷懶而進步」。期許自己成為斜槓到變進度條 100% 的年輕人。[//////////____30%_________]

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *