Összefoglaló
A PHP.Anuna egy olyan PHP trójai, amely rosszindulatú PHP kódokat fecskendez be a webszerveren tárolt fájlokba.
Leírás
A trójai kártékony kódja, a WordPress PHP fájlokat veszélyteti a webszervereken. A támadók más eszközöket vagy scripteket is használhatnak az álcázott káros kód fájlokhoz illesztéséhez.
A trójai csatlakozik a következő távoli helyekhez:
- 33db9538.com
- 9507c4e8.com
- e5b57288.com
- 54dfa1cb.com
Ezt követően a trójai káros kódot kap a távoli helyen, befecskendeződik a weboldalba.
A trójai nem végez semmilyen rosszindulatú tevékenységek, ha a PHP fájl User Agent rendelkezik az alábbi karaktersorozattal:
- slurp
- msnbot
- ia_archiver
- yandex
- rambler
A trójai szintén nem járhat el, ha a PHP fájl neve a következő szöveg:
- admin
A trójai elküldi a következő információkat a PHP fájlt a távoli helyszínekre:
- User Agent
- HTTP referrer
- HTTP host
- Remote IP address
- Infected PHP file name
Ha a felhasználó meglátogat egy weboldalt, amelyen egy fertőzött PHP fájl található, ezt követően a rosszindulatú kódot végrehajthatja a számítógépén.
Megoldás
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Trójai
backdoor
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com