در طی یکسال گذشته آرشیو نصب ورژن نال شده بسیاری از افزونه ها و پوسته های تجاری وردپرس پس از دستکاری و آلوده سازی به بدافزار WP-VCD توسط هکرها در شبکه اینترنت پخش شده و برای دانلود رایگان در اختیار عموم قرار گرفته است. پس از نصب این افزونه/پوسته‌ها بر روی وردپرس، کدهای مخرب این بدافزار بر روی وردپرس اجرا شده و برخی از فایل‌های وردپرس را به کدهای بکدور آلوده کرده و منابع سایت آلوده شده توسط هکرها برای انجام فعالیت‌های مخرب مورد سواستفاده قرار می گیرد.

برخی از فعالیت های مخرب این بدافزار به شرح زیر است:

  1. ایجاد یک کاربر با دسترسی ادمین در وردپرس قربانی
  2. تزریق لینک‌های مخرب در فوتر وردپرس. از طریق این لینک‌ها، سایت قربانی جهت انجام فعالیت‌های مخرب مانند سئوی کلاه سیاه، انتشار بدافزارهای مخرب و تبلیغات اسپم مورد سواستفاده قرار گرفته که این فعالیت‌ها در نهایت مشکلات جدی برای سایت قربانی ایجاد می کنند. در مواردی مشاهده شده که سایت میزبان در لیست سیاه گوگل قرار گرفته و بازدید کنندگان در هنگام ورود به سایت با پیام هشدار مخرب بودن محتوای منتشر شده بر روی آن سایت مواجه می‌شوند.
  3. بخشی از کد این بدافزار در فایل functions.php تمامی پوسته های نصب شده بر روی وردپرس تزریق می‌شود. کد تزریق شده در این فایل‌ها امکان کنترل و بروز رسانی این بدافزار بر روی سایت قربانی را در اختیار هکرها قرار می‌دهد. در برخی از ورژن‌های این بدافزار کد اینجکت شده در فایل functions.php امکان دستکاری و جایگزین محتوای پست‌های منتشر شده در وردپرس را نیز ایجاد می‌کنند.
  4. این بدافزار فایل های حاوی کدهای مخرب متعددی را به شاخه wp-includes وردپرس اضافه می کند. لیست این فایل‌ها به شرح زیر است:
wp-includes/class.wp.php
wp-includes/wp-cd.php
wp-includes/wp-vcd.php
wp-includes/wp-tmp.php
wp-includes/wp-feed.php

جهت کسب اطلاعات بیشتر در این مورد می‌توانید به آدرس‌های زیر مراجعه کنید:

Wp-vcd Malware Analysis
Wp-Vcd WordPress Malware Spreads via Nulled WordPress Themes
Wp-Vcd WordPress Malware Campaign Is Back
WP-VCD Malware Comes with Nulled Themes
WordPress WP-VCD Malware Attack on Your Blog/Websites

نمونه‌های متعدد از ثبت گزارش قربانیان این بدافزار در پشتیبانی وردپرس در آدرس‌های زیر قابل مشاهده است:

Warnings: * Unknown file in WordPress core: wp-includes/wp-tmp.php
wp-feed.php
Why keep Waring: Unknown file in WordPress core: wp-includes/class.wp.php
/tmp/theme_temp_setup what is this
Ad Malware on our site but can’t remove!
Problem with malware rogueads.unwanted_ads?1
unknown ad popups on my wp website

تیم فنی نت افراز پس از شناسایی این بدافزار در سال گذشته شناسه‌های متعددی از این بدافزار را استخراج و به دیتابیس نرم افزار اسکنر مورد استفاده بر روی سرورهای این شرکت اضافه نموده است تا از آپلود و نصب سهوی این بدافزار توسط کاربران خود جلوگیری کند. چنانچه کاربر در هنگام آپلود یک آرشیو بر روی سرویس میزبانی وب خود پیام هشدار آلوده بودن آرشیو به یک بدافزار با یکی از شناسه‌های زیر را دریافت کند این موضوع به این معنی است که آرشیو آپلود شده به بدافزار مخرب WP-VCD یا اثرات باقی مانده از فعالیت آن آلوده می باشد:

NCSD/L.PhpTrojan.WPBackdoor-2
NCSD/L.PhpTrojan.WPBackdoor-3
NCSD/L.PhpTrojan.WPBackdoor-4
NCSD/L.PhpTrojan.WPBackdoor-5
NCSD/L.PhpTrojan.WPBackdoor-6
NCSD/L.PhpTrojan.WPBackdoor-7
NCSD/L.PhpTrojan.WPBackdoor-8
NCSD/L.PhpTrojan.WPBackdoor-9
NCSD/H.PhpTrojan.PureErrorReporting
NCSD/L.PhpTrojan.WP-VCD.Malware-2
NCSD/L.PhpTrojan.WP-VCD.Malware-3
NCSD/L.PhpTrojan.WP-VCD.Malware-4
NCSD/L.PhpTrojan.WP-VCD.Malware-5
NCSD/L.PhpTrojan.WP-VCD.Malware-6
NCSD/L.PhpTrojan.WP-VCD.Malware-7
NCSD/L.PhpTrojan.WP-VCD.Malware-8
NCSD/L.PhpTrojan.WP-VCD.Malware-9
NCSD/H.PhpTrojan.WP-VCD.Malware.ErrorReporting

در طی چند ماه گذشته انتشار این بدافزار از طریق پوسته‌های نال شده وردپرسی به شدت افزایش یافته و متاسفانه در موارد متعددی مشاهده شده است که پوسته‌های خریداری شده توسط کاربران از برخی از سایت‌های داخلی فروشنده پوسته‌های وردپرسی نیز به این بدافزار آلوده هستند.

لازم به ذکر است که آلوده سازی نرم افزارهای نال شده به بدافزارها یک روش معمول برای انتشار این بدافزارها در شبکه اینترنت بوده و نصب و استفاده از این نرم افزارها امنیت شما را با خطر جدی مواجه خواهد کرد. با توجه به این موضوع نت افراز پیشنهاد می کند از نصب هر گونه نرم‌افزار کرک شده/نال شده و یا تهیه شده از منابع نامعتبر و نامطمئن بر روی سیستم‌ها و وبسایت‌های خود خودداری کنید.

سوالات متداول:

فایل آرشیو آپلودی من توسط نت افراز حاوی محتوای مخرب تشخیص داده می شود اما اسکن فایل توسط برنامه‌های ضد ویروس مختلف مانند بررسی در سایت virustotal.com هیچ مورد مشکوکی را نشان نمی‌دهد و مشکلی برای آپلود فایل بر روی هاست‌های ارایه شده توسط شرکت های میزبانی وب دیگر ندارم. آیا این یک اشتباه از سوی نت افراز نیست؟

نت افراز از نرم افزار ClamAV جهت اسکن فایل‌های آپلودی بر روی سرویس های میزبانی وب کاربران خود استفاده می کند اما در کنار دیتابیس های پیش فرض این نرم افزار، نت‌افراز از دیتابیس اختصاصی خود نیز برای اسکن فایل‌های آپلودی استفاده می‌کند. این دیتابیس به صورت اختصاصی توسط کارشناسان این شرکت و پس از بررسی تعداد زیادی فایل‌های حاوی کد مخرب در طی چند سال گذشته جمع آوری شده و به صورت مداوم نیز بروز رسانی می‌شود. تمامی این دیتابیس‌ها در فرایند اسکن هفتگی فایل‌های مخرب بر روی تمامی سرویس‌های میزبانی وب ارایه شده مورد استفاده قرار گرفته و خروجی گزارش‌های هفتگی این اسکن‌ها توسط کارشناسان نت‌افراز بررسی می‌شوند. در طی این بررسی‌ها چنانچه مورد تشخیص اشتباه مشاهده شود شناسه این تشخیص اشتباه اصلاح شده و یا از دیتابیس‌های مورد استفاده حذف می‌شوند. در صورت شناسایی یک کد مخرب جدید که توسط این دیتابیس ها قابل تشخیص نباشد، شناسه کد مخرب جدید استخراج و به دیتابیس نت افراز اضافه شده و سریعا بر روی تمامی سرورهای نت افراز بروز رسانی می شود. این موضوع باعث می شود که علاوه بر احتمال بسیار پایین تشخیص اشتباه (False Positive)، این نرم افزار ضد ویروس بر روی سرورهای این شرکت قادر به شناسایی تعداد زیادی از کدهای مخربی باشد که از دید بسیاری از نرم افزارهای ضد ویروس دیگر مخفی باقی می‌مانند. لازم به ذکر است که با توجه به نوع سرویس های ارایه شده، تمرکز این دیتابیس بر روی کدهای مخرب php و جاوا اسکریپت است. علیرغم دقت بالای دیتابیس‌های مورد استفاده کاربر در صورت تمایل می تواند درخواست بررسی دقیقتر فایلی که هنگام آپلود بر روی سرورهای نت افراز به عنوان فایل مخرب بلاک شده است را برای واحد پشتیبانی ارسال کند.

پوسته/افزونه من نال شده نبوده و آن را از یک شرکت/شخص طراح خریداری کرده ام، چرا آرشیو خریداری شده به این بدافزار آلوده بوده و آیا شرکت/شخص مورد نظر به عمد کد این بدافزار را در بسته ارایه شده گنجانده است؟

اطلاعات موجود نشان میدهد که ظاهرا این بدافزار در حال حاضر تنها از طریق آرشیوهای نصب ورژنهای نال شده افزونه/پوسته های تجاری وردپرس منتشر می شوند. چنانچه افزونه و پوسته خریداری شده به این کدهای مخرب آلوده می باشد علت این موضوع می تواند یکی از موارد زیر باشد:

  1. فروشنده به منظور سودجویی عمدا به جای ارایه بسته اصلی افزونه/پوسته ورژن نال شده این افزونه را که به این بدافزار آلوده شده بوده است در اختیار شما قرار داده است.
  2. چنانچه افزونه/پوسته ورژن ترجمه شده فارسی یک افزونه یا پوسته می‌باشد احتمالا فروشنده از روی سهل انگاری و عدم توجه به مسایل امنیتی برای ترجمه از ورژن نال شده آلوده به این بدافزار استفاده کرده است و به دلیل عدم بررسی دقیق کد بسته مورد استفاده از آلودگی آن به این بدافزار آگاه نشده و ناخواسته این بدافزار را در بسته نهایی ترجمه شده در اختیار شما قرار داده است.
  3. در مواردی مشاهده شده است که آرشیوهای نصب آسان وردپرس به همراه پوسته دلخواه که از برخی از سایت‌های ارایه و فروش قالب‌های وردپرسی تهیه شده‌اند به این بدافزار یا اثرات باقی مانده از نصب و فعالیت آن آلوده هستند. علت این موضوع می‌تواند استفاده از ورژن نال شده پوسته مورد نظر به عنوان پوسته اصلی یا مبنای ترجمه به فارسی باشد و یا اینکه آرشیو نصب ارایه شده از وردپرسی تهیه شده است، که قبلا حداقل یک افزونه یا پوسته آلوده به این بدافزار به صورت آزمایشی بر روی آن نصب و سپس حذف شده است.

در هر صورت در تمامی این موارد فروشنده پوسته/افزونه مسئول پاسخگویی در ارتباط با ارایه عمدی ورژن نال شده به جای ورژن اصلی و یا سهل انگاری امنیتی صورت گرفته در ارایه ناخواسته بسته آلوده خواهد بود.

فروشنده پوسته /افزونه ادعای نت افراز در ارتباط با آلودگی آرشیو نصب پوسته/افزونه را رد کرده و آن را نمیپذیرد. حق با نت افراز است یا فروشنده؟

احتمال تشخیص اشتباه نت افراز در شناسایی کد این بدافزار یا آثار باقیمانده از نصب و فعالیت آن بسیار پایین بوده به گونه ای که در طی یک سال گذشته حتی یک مورد اشتباه در این ارتباط نیز گزارش نشده است. در صورت درخواست کاربر نیز نت افراز آرشیو مورد نظر را دقیقا بررسی کرده و جزییات محتوای مخرب شناسایی شده را به صورت مستند به کاربر ارایه خواهد کرد. حتی اگر بررسی صورت گرفته نشان دهد که تشخیص برنامه ضد ویروس نت افراز صحیح نبوده است، مورد حتما به کاربر اعلام شده و اصلاحات مورد نیاز در این مورد انجام خواهد شد. بنابراین هیچ گونه ادعای بدون دلیلی در ارتباط با آلوده بودن یک آرشیو به این بدافزار یا آثار باقیمانده از نصب و فعالیت آن از سوی نت افراز ارایه نخواهد شد.

فایل‌های آلوده شناسایی شده به عنوان قسمتی از این بدافزار در آرشیو آپلودی من از سوی نت افراز دارای سایز صفر بوده و هیچ محتوایی ندارند و یا اینکه کد موجود دراین فایل به وضوح مخرب نیستند. با توجه به این موضوع آیا نمی توان گفت که این آرشیو به کد مخربی آلوده نبوده و استفاده از آن مشکل امنیتی برای سایت من ایجاد نمی کند؟

بدافزار WP-VCD قابلیت تغییر کد خود و همچنین اضافه کردن کدها و فایل‌های دلخواه از طریق ریموت را دارا است. کد موجود در برخی از فایل‌های ایجاد شده توسط این بدافزار به صورت مستقیم از یک آدرس ریموت دریافت شده و در فایل تعیین شده ذخیره می‌شود. با توجه به کد این بدافزار چنانچه امکان اتصال به آدرس ریموت وجود نداشته باشد، یک فایل با سایز صفر با نام و مسیر مشخص شده بر روی سایت قربانی ایجاد خواهد شد. وجود این فایل‌های خالی بر روی یک وردپرس نشان دهنده آلودگی آن وردپرس به این بدافراز در حال حاضر و یا حداقل در گذشته می‌باشد. این بدافزار ممکن است کدهای مخرب ناشناخته دیگری را به فایل‌های موجود در آرشیو تزریق کرده باشد. بنابراین حتی در صورتیکه تنها اثرات مخرب این بدافزار در یک بسته وردپرسی شناسایی شود، امنیت آن بسته و حتی امنیت و اعتبار ارایه دهنده آن را زیر سوال خواهد برد.

آیا می توانم پس از پاکسازی کدهای مخرب شناسایی شده از آرشیو خود، آن را بر روی وردپرس خود نصب کنم؟

اسکن‌های انجام شده توسط برنامه‌های ضد ویروس تنها قادر به شناسایی کدهای مخربی هستند که شناسه این کدها از پیش برای آن‌ها تعریف شده باشد. بنابراین ممکن است در کنار کدهای مخرب شناسایی شده همچنان کدهای مخرب ناشناخته دیگری نیز وجود داشته و این کدها پس از نصب بسته افزونه/پوسته بر روی وردپرس باعث آلوده سازی سایت شما شوند. با توجه به این موضوع نصب افزونه/پوسته مورد نظر بر روی وردپرس پس از پاکسازی نیز پیشنهاد نمی‌شود.



1396/11/30

« برگشت