Hogyan lehet elemezni egy WordPress kártevőt?

Munkám során gyakran találkozom olyan oldalakkal, amelyek már tartalmaznak WordPress kártevőt. Néha még az is előfordul, hogy egy, a Webshield által védett oldalon jelenik meg valamilyen kártevő. Ilyenkor pedig mindig elemzem, hogy mit csinál a vírus.

Egy védett oldalra hogyan fészkelheti be magát egy ilyen vírus?

Hogyan ismered fel?

Hogyan lehet elemezni a kártevőt?

Hogyan kerülhet kártevő a weboldaladra?

A teljesség igénye nélkül, íme pár gyakori lehetőség:

  • Új sérülékenységet fedeznek fel a WordPress-ben vagy valamelyik általad használt bővítményben.
  • Valakinek kiszivárog a WordPress-jelszava.
  • Valakinek kiszivárog azt ftp jelszava.
  • Valakinek fertőzött a gépe és a gépen keresztül a vírus feltölti magát a WordPress-oldalra.

Azonnal feltűnik, ha kártevővel van dolgod?

Sajnos nem.

Sokszor olyan ügyesen el vannak rejtve a kódban a vírusok, hogy az emberek észre sem veszik a jelenlétüket. Az is megnehezítheti a felfedezésüket, ha olyan hosszú space sorozattal van felvezetve, hogy ha akarnád sem látod, -mert kilóg a képernyőből.

Az ember azt gondolná, hogy a vírusellenőrzők minden esetben kiszűrik a kártevőket, azonban ez sincs feltétlenül így, mert ha új variánssal állnak szemben, sokszor zavarba jönnek.

Én mindenesetre szeretem megvizsgálni, pontosan mit csinál a kártevő és ezt most be is mutatom egy példán keresztül.

Így elemezzük a kártevőt

Ha ránézünk az előttünk álló feladványra, néhány tízsoros, szóköz nélküli katyvaszt látunk, amely az emberi szemnek olvashatatlan. De mivel a php szöveges nyelvét dolgozza fel, bárhogy legyen offuszkálva ez a kód, a visszafejtése lehetséges, hiszen a php is megteszi ugyanezt ahhoz, hogy le tudja futtatni.

Ez a visszafejtés lehet egyszerű feladat, de lehet bicskanyitogatóan nehéz is.

A szemléltetéshez kiszedtem egy vírust egy fertőzött fájlból. Egy hosszú sort látsz, amiben benne van az értelmezhetetlen kód. Ahhoz, hogy megtudjuk, mi ennek a vírusnak a feladata, elemeznem kell.

 Az elemzés lépései

  1. Először olvasható formára kell hozni a kódot. Phpban a sorok végét pontosvessző zárja le, ezeket a pontosvesszőket kell megkeresni, és ez alapján betördelhető a kód.
  2. Létrehozunk egy fura nevű változót, hogy lássuk, mit csinál ez a kód.
  3. Létrehozunk egy másik változót, kizáró vaggyal (logikai művelet, amit karakterenként lehet értelmezni), amit összehozunk az előző változónkkal. . Ezzel a művelettel az előző értékből és a katyvaszból létrehoz egy új értéket.
  4. Ezt a változót kimásolom és kiiratom a képernyőre, hogy mi a tartalma
  5. Befejezem a program futását.
  6. Elmentem.
  7. Új ablakban lefuttatom, megnézem mi lesz az eredmény.

Kaptunk egy jól értelmezhető php kódot. Ez alapján már egyértelműen látjuk, hogy a vírus bármit lefuttathat a gazdájának, mert ez egy univerzális vírus.

Így működik a kártevők visszafejtése.

Majdnem az összes ilyen vírus tartalmaz egy olyan kis részt, ami jelszót vár, ha pedig nem kapja meg, nem hajlandó működni. Tehát a vírust is levédik abból a célból, hogy ne használhassa olyan ember a kártevőt, aki nem a gazdája.

Tags:

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.