最近大きく猛威を振るっているicoファイルに偽装するタイプのマルウェアにつきまして、解説と対処法をご紹介いたします。


ワードプレスに感染するicoファイルに偽装するタイプのマルウェア

ワードプレスが勝手に他のサイトにリダイレクトしたり、サイトのヘッダーやフッターに不可解な文字列が表示されていたり、組み込んだ覚えのないJSファイルが読み込まれているなどの症状がある場合、ご注意ください。
下記のようなコードがワードプレスファイルの中に見つかったら、icoファイルに偽装するタイプのマルウェアに感染しています。

@include "7usr/0ome/ランダムな文字列.ico";

この短い書き込みは、ハッカーによるものであり、難読化されていますが特定のディレクトリにある.icoという拡張子の他のマルウェアを読み込むための命令です。
一般的に下記のようなファイルに見られることが多いです。

●wp-config.php
●あらゆるフォルダの index.php
●テーマフォルダの header.php、footer.php、single.php、page.php

参考記事
ハッカーがワードプレスサイトのファイルを書き換える(改ざん)方法を知ってセキュリティーを高めましょう

マルウェア本体であるIcoファイル

Icoファイルは本来画像ファイルですが、多くのマルウェア検出プラグインでは検出から除外されるため、ハッカーはファイルが検出されないようにIcoに偽装してPHPのプログラムコードを隠しています。

@includeによる読み込み処理で、Icoファイルの内容をプログラムとして実行してハッカーが行いたい不正な活動をサイト上で行います。

Icoファイルの中身は一般的には下記のような内容でさらに難読化されて一見して何を行っているかわからないようになっています。

$_gow5jau = basename/*cab6*/(/*a7jhy*/trim/*fs4*/(/*1x*/preg_replace/*s2ot*/(/*9z*/rawurldecode/*7a*/(/*n*/"%2F%5C%28.%2A%24%2F"/*i*/)/*fi40*/, '', __FILE__/*pz2or*/)/*5*//*sq*/)/*sdxc*//*tz*/)/*rkadc*/ 
~文字列が続く

このプログラムの活動内容は多種多様ですが、サイトにアクセスしたユーザーをリダイレクトしたり、サイト上のリンクを置き換えて別のサイトに飛ぶようにしたり、といったような不正なリダイレクトである場合が多いです。

Icoファイルに偽装するタイプのマルウェアの検出と排除

ワードプレスドクター マルウェアスキャナー&セキュリティーをご利用いただくと、@includeでマルウェアを読み込んでいる改ざんと、Icoファイルに偽装した不正コードの本体双方を検出可能です。

@include 文が検出された場合の対処方法

この書き込みはハッカーがマルウェアの本体を読み込むためのものですので

@include ~ ; 

(@から始まり;で終わる一行)までをテキストエディタ―などで削除し保存しなおされてください

Icoという拡張子のマルウェア本体が検出された場合の対処方法

このファイルは本来ワードプレスにないファイルです。ファイルを開かれて難読化されたコードが書かれている場合はそのまま削除されて問題ございません。

WordPress のマルウェア駆除と、セキュリティー対策につきましてお気軽にワードプレス ドクターにご相談・ご依頼ください