CryptoPHP

Nesse último final de semana (dias 13 e 14 de dezembro) passamos escaneando todos os servidores de hospedagem compartilhada a procura do malware CryptoPHP.

Encontrando algumas contas infectadas, seus responsáveis foram notificados e o malware foi removido.

Embora o malware deveria nunca entrar no servidor, muitos processos como por exemplo uma migração de conta, é impossível escanear milhares de arquivos que são colocados no servidor ao mesmo tempo.

Devido a isso, muitos arquivos infectados acabam conseguindo se instalar na conta e no caso do CryptoPHP faz essa conta enviar spam.

CryptoPHP é uma ameaça que usa backdoor do Joomla, WordPress e Drupal temas e plugins para comprometer servidores web em larga escala. Mais informações sobre esta ameaça pode ser encontrada no link relacionado abaixo.

Esta infecção quase certamente significa que o usuário do site infectado tem usado plugins piratas dos locais nulledstylez.com, dailynulled.com ou algum outro site que é especializada no fornecimento de software “nulled” (pirata). A pesquisa da Fox-IT mostrou que cada tema pirata ou plug-in nesses dois locais foi infestada com o malware cryptophp.

Fox-IT recomenda que você deve não tentar “reparar” a infecção. A conta infectada deve ser reinstalado a partir do zero.

Vou repetir o parágrafo anterior: remover o arquivo “social.png” não remover a infecção. “Social.png” só é apenas um pequeno pedaço dele. A conta infectada deve ser reinstalado a partir do zero.

Tivemos alguns servidores infectados, porém hoje todos já estão seguros e sendo diariamente monitorados para identificar os usuários que usam scripts piratas infectados.