Anuna trójai

CH azonosító

CH-12810

Angol cím

PHP.Anuna

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Linux
Mac OS X
Microsoft
Windows

Érintett verziók

Linux, Mac OS X, Solaris, Windows 2000, Windows 7, Windows 8, Windows 10, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

Az Anuna trójai webes állományok megfertőzésére specializálódott. A jelenlegi variánsa kifejezetten PHP-kódokkal történő manipulációkra alkalmas. Ha a kártékony kód rákerül egy szerverre, azon feltérképezi a fájlrendszert, majd egy távoli szerverről beszerzi azokat kódokat, amikkel meg kell fertőznie a rendszert. Amennyiben a felhasználó egy manipulált, PHP-s oldalt tölt le, akkor a számítógépe rögtön megfertőződhet.

Az Anuna gondosan ügyel arra, hogy a jelenléte egyebek mellett a webes keresők esetében se keltsen feltűnést. Így amikor egy kompromittált weboldalt például a Google keresőrobotja pásztázz, akkor nem aktivizálódik. Emellett a szerzemény az “admin” oldalakat sem módosítja, hogy ezzel is megnehezítse a felismerését.

Az Anuna eddig leginkább WordPress alapú webhelyeket ostromolt.

Leírás

1. Kapcsolódik egy távoli vezérlőszerverhez.

2. Letölti a fertőzéshez szükséges kódokat.

3. Amennyiben a User Agent feldolgozásakor az alábbi kifejezéseket észleli, akkor nem aktivizálódik:
google
slurp
msnbot
ia_archiver
yandex
rambler

4. Az “admin” kifejezést tartalmazó fájlokat érintetlenül hagyja.

5. Kiszivárogtatja az alábbi információkat:
– User Agent
– HTTPS referrer
– HTTP host
– IP-címek.

6. Amennyiben a felhasználó meglátogat egy fertőzött fájlt, akkor kártékony kódok kerülhetnek fel a számítógépére.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést!