WP-VCD: o malware que ataca WordPress

Esta entrada foi publicada em Pesquisa , Segurança do WordPress em 4 de novembro de 2019 por Mikey Veenstra.

Uma das infecções por malware mais comuns que o ecossistema do WordPress enfrenta nas últimas semanas é uma campanha conhecida como WP-VCD. Apesar da existência relativamente longa da campanha, a equipe de inteligência de ameaças do Wordfence associou o WP-VCD a uma maior taxa de novas infecções do que qualquer outro malware do WordPress todas as semanas desde agosto de 2019, e a campanha não mostra sinais de desaceleração.

No post de hoje, estamos publicando um white paper abrangente analisando o WP-VCD . Este whitepaper contém todos os detalhes de nossos esforços de pesquisa nessa campanha predominante. Ele foi desenvolvido como um recurso para analistas de ameaças, pesquisadores de segurança, desenvolvedores e administradores do WordPress e qualquer pessoa interessada em rastrear ou impedir o comportamento associado ao WP-VCD.

WP-VCD em resumo
A infecção WP-VCD em si é transmitida por plug-ins e temas “anulados” ou pirateados distribuídos por uma rede de sites relacionados, e é notável na maneira como se propaga após a implantação. Nos bastidores, a extensa infraestrutura de comando e controle (C2) e as infecções de autocorreção permitem que os invasores mantenham uma posição persistente nesses sites infectados.

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘2f3ad13e4908141130e292bf8aa67474’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{
case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))

O snippet de código acima foi originado de um arquivo functions.php infectado em um site comprometido pelo WP-VCD. Devido à prevalência da campanha, é provável que este exemplo seja imediatamente reconhecido por qualquer pessoa com experiência em lidar com infecções por malware do WordPress.

Detalhes completos e análise de código da campanha WP-VCD podem ser encontrados no relatório completo.

Infraestrutura, monetização e atribuição
Em vários pontos de sua história, recursos específicos foram adicionados e removidos do malware, mas a maioria dos componentes principais do WP-VCD permaneceu consistente. A monetização vem de duas fontes principais: atividade de marketing viral destinada a manipular resultados de mecanismos de pesquisa por meio de SEO black hat e código de malvertising que cria redirecionamentos potencialmente perigosos e anúncios pop-up para usuários que visualizam um site comprometido.

No whitepaper, fornecemos algumas dicas sobre a extensão da infraestrutura e do esquema de monetização do WP-VCD. Também revelamos dados que fornecem atribuição ao agente de ameaças por trás da campanha.

Indicadores de compromisso (COI)
Para ajudar a comunidade de segurança na prevenção, detecção e erradicação de infecções por WP-VCD, fornecemos uma extensa lista de COI associados a esta campanha. Também compartilhamos algumas regras de detecção de malware compatíveis com YARA para uso público na identificação de sites infectados.

Leia o relatório completo
O escopo completo de nossa investigação sobre o WP-VCD excede em muito o de uma postagem típica de um blog de pesquisa; portanto, leia o whitepaper completo:

WP-VCD: o malware que você instalou em seu próprio site .

Resolva o ataque de malware WP-VCD

Se você foi vítima de um ataque de malware, sabe como pode ser doloroso se livrar dessas sanguessugas traquinas. Recentemente, um dos sites que eu administrei foi vítima de um vírus WP-VCD Malware. O que eu pensei que seria um processo irritantemente longo para consertar, na verdade não levou muito tempo.

Como o WP-VCD trava em um site?

Existem várias maneiras pelas quais o malware pode se conectar ao seu site, as formas mais comuns para os ataques de vertente de malware WP-VCD são:

Baixando e instalando temas gratuitos do WordPress piratas premium e instalando-os.
Baixando e instalando plugins desonestos gratuitos.

Os desenvolvedores criam portas traseiras para o software acima, o que deixa seu site vulnerável a ataques no futuro.

No meu caso, baixei um tema premium gratuitamente por um tempo para testá-lo antes de comprá-lo. Parece que uma porta dos fundos foi incorporada ao código e se espalhou por todas as instalações locais, mesmo as mais recentes.

“Importante: Não baixe temas e plugins premium de graça!”

Veja como corrigi-lo de maneira rápida e fácil.

1. Identifique o tipo de malware

Se você identificou o vírus do malware e tem certeza de que seu WP-VCD, prossiga para a etapa 2. Se não tiver certeza, os seguintes sintomas podem ajudá-lo a solucionar esta etapa.

Seu site está apresentando um erro de status de cabeçalho 500 por um motivo incomum.
Examine o diretório do seu domínio, se você encontrar um arquivo wp-vcd.php no diretório / wp-includes /. provavelmente é o WP-WCD.

Se você ainda não tiver certeza, tente usar a verificação de segurança do site e o scanner de malware gratuitos da Sucuri para identificar o problema.

2. Crie um backup

Entre no seu cliente FTP e crie um backup dos arquivos do seu site no seu local. mantenha-os sem modificação, caso você exclua um arquivo e precise ser substituído.

3. Exclua os seguintes arquivos maliciosos

Para os especialistas em malware WP-WCD que começaram a excluir os seguintes arquivos – deixei comentários da minha correção real para usar como orientação sobre o que funcionou para mim.

Excluir:class.theme-modules.php eclass.plugin-modules.php
- Não foi possível encontrar esses arquivos, procurei em toda a pasta – o local desses arquivos não foi especificado.
Navegue até wp-includes e delete estes arquivos:
- wp-includes/wp-vcd.php – Este é o arquivo principal que injeta o vírus nos outros arquivos
- wp-includes/class.wp.php– Não excluiu este, pois quebrou os estilos no site. Eu o inspecionei para encontrar injeções de wcd e nada foi encontrado.
- wp-includes/wp-cd.php – Este arquivo também não foi encontrado.
- wp-includes/wp-feed.php – Excluído sem problemas
- wp-includes/wp-tmp.php – Excluído sem problemas

4. Excluir código malicioso do arquivo Theme Functions.php

- Navegue até o local do arquivo do tema para encontrar o functions.phparquivo do tema . O caminho geralmente se parece com:
  \wp-content\themes\{choose your active theme}
- Abra o functions.php arquivo e remova o código do malware.
- Geralmente, são cerca de 150 ou mais linhas inseridas na primeira função

Salve e você deve estar pronto!

5. Excluir usuários suspeitos

Verifique os usuários do banco de dados e os usuários do site WP para ver se foram criadas contas suspeitas. Exclua estes.

6. Instale a proteção no seu site

Instale um plugin do WordPress para ajudar a identificar e proteger seu site contra malware. Eu recomendo o Wordfence Security – Firewall & Malware Scan , que ajuda a identificar e bloquear malware.

Você também pode gostar de:

Moodle - Content Pages, Plugin Free

Implementar Moodle pode ajudá-lo a identificar e preencher a lacuna de habilidades em sua organizaçã...

GOBRUNCH - Como fazer videoconferência com até 400 alunos gratuitamente!

Moodle 4.0: O que há de novo nas tarefas

Marketing 3.0

e-Book Métodos e práticas para o século XXI

Sala de Professores da TV Fepesp apresenta “Educação a distância: vale tudo?”

Como Fazer Live com Convidados

Cookie	Duração	Descrição
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
JSESSIONID		Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.

Cookie	Duração	Descrição
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.

Cookie	Duração	Descrição
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duração	Descrição
_gat_gtag_UA_174904389_1	1 minute	No description
CONSENT	16 years 9 months 24 days 20 hours	No description
gt_auto_switch	9 years 9 months	No description
gtm_id	1 year	No description

Cookie	Duração	Descrição
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
JSESSIONID		Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.

WP-VCD: o malware que ataca WordPress

WP-VCD: o malware que você instalou em seu próprio site .

Como o WP-VCD trava em um site?

“Importante: Não baixe temas e plugins premium de graça!”

1. Identifique o tipo de malware

2. Crie um backup

3. Exclua os seguintes arquivos maliciosos

4. Excluir código malicioso do arquivo Theme Functions.php

5. Excluir usuários suspeitos

6. Instale a proteção no seu site

Você também pode gostar de:

ÚLTIMOS POSTS

6 formas de usar inteligência artificial em qualquer tipo de negócio

A inteligência artificial (IA) generativa explodiu na consciência pública

O Gemini do Google agora está em tudo. Veja como você pode experimentá-lo.

Ninguém sabe como a IA funciona

ClassDojo: app GRATUITO ajuda professores e alunos na sala de aula

MAIS CATEGORIAS

Sobre nós

Últimos projetos

JANIELLY NUNES

CENTRO OESTE

SWEDCRUB

Banking and Investment

WULP

Contatos