PHP.Anuna trójai

CH azonosító

CH-12794

Angol cím

PHP.Anuna

Felfedezés dátuma

2015.11.18.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Linux
Mac OS X
Microsoft
Solaris
Windows

Érintett verziók

Linux, Mac OS X, Solaris, Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A PHP.Anuna egy olyan PHP trójai, amely  rosszindulatú PHP kódokat fecskendez be a webszerveren tárolt fájlokba.

Leírás

A trójai kártékony kódja, a WordPress PHP fájlokat veszélyteti a webszervereken. A támadók más eszközöket vagy scripteket is használhatnak az álcázott káros kód fájlokhoz illesztéséhez.

A trójai csatlakozik a következő távoli helyekhez:

  • 33db9538.com
  • 9507c4e8.com
  • e5b57288.com
  • 54dfa1cb.com

Ezt követően a trójai káros kódot kap a távoli helyen, befecskendeződik a weboldalba.

A trójai nem végez semmilyen rosszindulatú tevékenységek, ha a PHP fájl User Agent rendelkezik az alábbi karaktersorozattal:

  • google
  • slurp
  • msnbot
  • ia_archiver
  • yandex
  • rambler

A trójai szintén nem járhat el, ha a PHP fájl neve a következő szöveg:

  • admin

A trójai elküldi a következő információkat a PHP fájlt a távoli helyszínekre:

  • User Agent
  • HTTP referrer
  • HTTP host
  • Remote IP address
  • Infected PHP file name

Ha a felhasználó meglátogat egy weboldalt, amelyen egy fertőzött PHP fájl található, ezt követően a rosszindulatú kódot végrehajthatja a számítógépén.

Megoldás

  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool