Template, Component เถื่อนกับของแปลกปลอมที่มาแบบไม่ทันตั้งตัว

faketamplate

Post นี้เป็น Post แบบสั้นๆ ที่อยากจะบอกเล่าเรื่องราวของการเจอมากับตัวกับการใช้ Component ที่โหลดมาจากเว็บแจกไฟล์ทั่วๆไป หรือเรียกง่ายๆ ว่าของเถื่อนนั่นแหละครับ เอาเข้าจริงๆ ของสคริปต์แปลกปลอมพวกนี้มันตรวจสอบกันยากนะครับ แต่วันนี้เหมือนโชคดีที่ติดตั้งตัว Component นี้ ในเครื่องก่อนลง Server จริง กด Install ปุ๊ปสแกนไวรัสก็เด้งเตือนขึ้นมาเลย ตอนแรกก็แปลกใจว่าชื่อไฟล์มันเป็นไฟล์รูปภาพนี่หว่า (Social.png) แต่พอลองปิด Antivirus แล้ว View File ดูใน Winrar สิ่งที่พบก็เต็มๆ เลยครับ PHP Script เน้นๆ ยังไม่แน่ใจเหมือนกันว่าตัวสคริปต์ทำงานอย่างไร เท่าที่ดูคร่าวๆ มีส่วนที่ทำงานกับฐานข้อมูล ลองถอดข้อมูลในชุด array ที่ถูกเข้ารหัสแบบ base64 แล้ว Reverse string พบว่าเป็นชื่อโดเมนเนมกับอีเมล์รวมๆ เกือบ 200 รายการ ฯลฯ นี่ถ้าติดตั้งตรงเข้า Server เลยงานนี้มีร้อนๆ หนาวๆ กันแน่

มีฝรั่งเคยเขียนเกี่ยวมัลแวร์ตัวนี้ไว้ด้วย

https://www.malwareremovalservice.com/sneaky-social-png-friend-contains-malware/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s