#مهم

شیوع گسترده بدافزار WP-VCD از طریق نصب افزونه ها و پوسته های نال شده وردپرسی

در طی یکسال گذشته آرشیو نصب ورژن نال شده بسیاری از افزونه ها و پوسته های تجاری وردپرس پس از دستکاری و آلوده سازی به بدافزار WP-VCD توسط هکرها در شبکه اینترنت پخش شده و برای دانلود رایگان در اختیار عموم قرار گرفته است. پس از نصب این افزونه/پوسته‌ها بر روی وردپرس، کدهای مخرب این بدافزار بر روی وردپرس اجرا شده و برخی از فایل‌های وردپرس را به کدهای بکدور آلوده کرده و منابع سایت آلوده شده توسط هکرها برای انجام فعالیت‌های مخرب مورد سواستفاده قرار می گیرد.

برخی از فعالیت های مخرب این بدافزار به شرح زیر است:

ایجاد یک کاربر با دسترسی ادمین در وردپرس قربانی
تزریق لینک‌های مخرب در فوتر وردپرس. از طریق این لینک‌ها، سایت قربانی جهت انجام فعالیت‌های مخرب مانند سئوی کلاه سیاه، انتشار بدافزارهای مخرب و تبلیغات اسپم مورد سواستفاده قرار گرفته که این فعالیت‌ها در نهایت مشکلات جدی برای سایت قربانی ایجاد می کنند. در مواردی مشاهده شده که سایت میزبان در لیست سیاه گوگل قرار گرفته و بازدید کنندگان در هنگام ورود به سایت با پیام هشدار مخرب بودن محتوای منتشر شده بر روی آن سایت مواجه می‌شوند.
بخشی از کد این بدافزار در فایل functions.php تمامی پوسته های نصب شده بر روی وردپرس تزریق می‌شود. کد تزریق شده در این فایل‌ها امکان کنترل و بروز رسانی این بدافزار بر روی سایت قربانی را در اختیار هکرها قرار می‌دهد. در برخی از ورژن‌های این بدافزار کد اینجکت شده در فایل functions.php امکان دستکاری و جایگزین محتوای پست‌های منتشر شده در وردپرس را نیز ایجاد می‌کنند.
این بدافزار فایل های حاوی کدهای مخرب متعددی را به شاخه wp-includes وردپرس اضافه می کند. لیست این فایل‌ها به شرح زیر است:


wp-includes/class.wp.php
wp-includes/wp-cd.php
wp-includes/wp-vcd.php
wp-includes/wp-tmp.php
wp-includes/wp-feed.php

جهت کسب اطلاعات بیشتر در این مورد می‌توانید به آدرس‌های زیر مراجعه کنید:

Wp-vcd Malware Analysis
Wp-Vcd WordPress Malware Spreads via Nulled WordPress Themes
Wp-Vcd WordPress Malware Campaign Is Back
WP-VCD Malware Comes with Nulled Themes
WordPress WP-VCD Malware Attack on Your Blog/Websites

نمونه‌های متعدد از ثبت گزارش قربانیان این بدافزار در پشتیبانی وردپرس در آدرس‌های زیر قابل مشاهده است:

Warnings: * Unknown file in WordPress core: wp-includes/wp-tmp.php
wp-feed.php
Why keep Waring: Unknown file in WordPress core: wp-includes/class.wp.php
/tmp/theme_temp_setup what is this
Ad Malware on our site but can’t remove!
Problem with malware rogueads.unwanted_ads?1
unknown ad popups on my wp website

تیم فنی شرکت نت افراز پس از شناسایی این بدافزار در سال گذشته شناسه‌های متعددی از این بدافزار را استخراج و به دیتابیس نرم افزار اسکنر مورد استفاده بر روی سرورهای این شرکت اضافه نموده است تا از آپلود و نصب سهوی این بدافزار توسط کاربران خود جلوگیری کند. چنانچه کاربر در هنگام آپلود یک آرشیو بر روی سرویس میزبانی وب خود پیام هشدار آلوده بودن آرشیو به یک بدافزار با یکی از شناسه‌های زیر را دریافت کند این موضوع به این معنی است که آرشیو آپلود شده به بدافزار مخرب WP-VCD یا اثرات باقی مانده از فعالیت آن آلوده می باشد:

NCSD/L.PhpTrojan.WPBackdoor-2
NCSD/L.PhpTrojan.WPBackdoor-3
NCSD/L.PhpTrojan.WPBackdoor-4
NCSD/L.PhpTrojan.WPBackdoor-5
NCSD/L.PhpTrojan.WPBackdoor-6
NCSD/L.PhpTrojan.WPBackdoor-7
NCSD/L.PhpTrojan.WPBackdoor-8
NCSD/L.PhpTrojan.WPBackdoor-9
NCSD/H.PhpTrojan.PureErrorReporting
NCSD/L.PhpTrojan.WP-VCD.Malware-2
NCSD/L.PhpTrojan.WP-VCD.Malware-3
NCSD/L.PhpTrojan.WP-VCD.Malware-4
NCSD/L.PhpTrojan.WP-VCD.Malware-5
NCSD/L.PhpTrojan.WP-VCD.Malware-6
NCSD/L.PhpTrojan.WP-VCD.Malware-7
NCSD/L.PhpTrojan.WP-VCD.Malware-8
NCSD/L.PhpTrojan.WP-VCD.Malware-9
NCSD/H.PhpTrojan.WP-VCD.Malware.ErrorReporting

در طی چند ماه گذشته انتشار این بدافزار از طریق پوسته‌های نال شده وردپرسی به شدت افزایش یافته و متاسفانه در موارد متعددی مشاهده شده است که پوسته‌های خریداری شده توسط کاربران از برخی از سایت‌های داخلی فروشنده پوسته‌های وردپرسی نیز به این بدافزار آلوده هستند.
لازم به ذکر است که آلوده سازی نرم افزارهای نال شده به بدافزارها یک روش معمول برای انتشار این بدافزارها در شبکه اینترنت بوده و نصب و استفاده از این نرم افزارها امنیت شما را با خطر جدی مواجه خواهد کرد. با توجه به این موضوع پیشنهاد می کنیم از نصب هر گونه نرم‌افزار کرک شده/نال شده و یا تهیه شده از منابع نامعتبر و نامطمئن بر روی سیستم‌ها و وبسایت‌های خود خودداری کنید.

سوال:

✔️پوسته/افزونه من نال شده نبوده و آن را از یک شرکت/شخص طراح خریداری کرده ام، چرا آرشیو خریداری شده به این بدافزار آلوده بوده و آیا شرکت/شخص مورد نظر به عمد کد این بدافزار را در بسته ارایه شده گنجانده است؟

اطلاعات موجود نشان میدهد که ظاهرا این بدافزار در حال حاضر تنها از طریق آرشیوهای نصب ورژنهای نال شده افزونه/پوسته های تجاری وردپرس منتشر می شوند. چنانچه افزونه و پوسته خریداری شده به این کدهای مخرب آلوده می باشد علت این موضوع می تواند یکی از موارد زیر باشد:

فروشنده به منظور سودجویی عمدا به جای ارایه بسته اصلی افزونه/پوسته ورژن نال شده این افزونه را که به این بدافزار آلوده شده بوده است در اختیار شما قرار داده است.
چنانچه افزونه/پوسته ورژن ترجمه شده فارسی یک افزونه یا پوسته می‌باشد احتمالا فروشنده از روی سهل انگاری و عدم توجه به مسایل امنیتی برای ترجمه از ورژن نال شده آلوده به این بدافزار استفاده کرده است و به دلیل عدم بررسی دقیق کد بسته مورد استفاده از آلودگی آن به این بدافزار آگاه نشده و ناخواسته این بدافزار را در بسته نهایی ترجمه شده در اختیار شما قرار داده است.
در مواردی مشاهده شده است که آرشیوهای نصب آسان وردپرس به همراه پوسته دلخواه که از برخی از سایت‌های ارایه و فروش قالب‌های وردپرسی تهیه شده‌اند به این بدافزار یا اثرات باقی مانده از نصب و فعالیت آن آلوده هستند. علت این موضوع می‌تواند استفاده از ورژن نال شده پوسته مورد نظر به عنوان پوسته اصلی یا مبنای ترجمه به فارسی باشد و یا اینکه آرشیو نصب ارایه شده از وردپرسی تهیه شده است، که قبلا حداقل یک افزونه یا پوسته آلوده به این بدافزار به صورت آزمایشی بر روی آن نصب و سپس حذف شده است.

در هر صورت در تمامی این موارد فروشنده پوسته/افزونه مسئول پاسخگویی در ارتباط با ارایه عمدی ورژن نال شده به جای ورژن اصلی و یا سهل انگاری امنیتی صورت گرفته در ارایه ناخواسته بسته آلوده خواهد بود.

✔️آیا می توانم پس از پاکسازی کدهای مخرب شناسایی شده از آرشیو خود، آن را بر روی وردپرس خود نصب کنم؟

اسکن‌های انجام شده توسط برنامه‌های ضد ویروس تنها قادر به شناسایی کدهای مخربی هستند که شناسه این کدها از پیش برای آن‌ها تعریف شده باشد. بنابراین ممکن است در کنار کدهای مخرب شناسایی شده همچنان کدهای مخرب ناشناخته دیگری نیز وجود داشته و این کدها پس از نصب بسته افزونه/پوسته بر روی وردپرس باعث آلوده سازی سایت شما شوند. با توجه به این موضوع نصب افزونه/پوسته مورد نظر بر روی وردپرس پس از پاکسازی نیز پیشنهاد نمی‌شود.


منابع: [فقط کاربران عضو سایت می توانند مشاهده نمایند. ] - [فقط کاربران عضو سایت می توانند مشاهده نمایند. ]