Template, Component เถื่อนกับของแปลกปลอมที่มาแบบไม่ทันตั้งตัว

faketamplate

Post นี้เป็น Post แบบสั้นๆ ที่อยากจะบอกเล่าเรื่องราวของการเจอมากับตัวกับการใช้ Component ที่โหลดมาจากเว็บแจกไฟล์ทั่วๆไป หรือเรียกง่ายๆ ว่าของเถื่อนนั่นแหละครับ เอาเข้าจริงๆ ของสคริปต์แปลกปลอมพวกนี้มันตรวจสอบกันยากนะครับ แต่วันนี้เหมือนโชคดีที่ติดตั้งตัว Component นี้ ในเครื่องก่อนลง Server จริง กด Install ปุ๊ปสแกนไวรัสก็เด้งเตือนขึ้นมาเลย ตอนแรกก็แปลกใจว่าชื่อไฟล์มันเป็นไฟล์รูปภาพนี่หว่า (Social.png) แต่พอลองปิด Antivirus แล้ว View File ดูใน Winrar สิ่งที่พบก็เต็มๆ เลยครับ PHP Script เน้นๆ ยังไม่แน่ใจเหมือนกันว่าตัวสคริปต์ทำงานอย่างไร เท่าที่ดูคร่าวๆ มีส่วนที่ทำงานกับฐานข้อมูล ลองถอดข้อมูลในชุด array ที่ถูกเข้ารหัสแบบ base64 แล้ว Reverse string พบว่าเป็นชื่อโดเมนเนมกับอีเมล์รวมๆ เกือบ 200 รายการ ฯลฯ นี่ถ้าติดตั้งตรงเข้า Server เลยงานนี้มีร้อนๆ หนาวๆ กันแน่

มีฝรั่งเคยเขียนเกี่ยวมัลแวร์ตัวนี้ไว้ด้วย

https://www.malwareremovalservice.com/sneaky-social-png-friend-contains-malware/

Advertisements