Спам-бот Stealrat использует для рассылки функцию php – mail

06.05.2014 | 10:08
В Сети появилась информация о масштабном спам-боте под названием Stealrat. О существовании вредоносной сети сообщил пользователь habrahabr.ru под ником VladimirTT. По его словам, для рассылки нежелательной корреспонденции Stealrat использует ряд незащищенных CMS, в том числе WordPress, Joomla!, а также Drupal.

VladimirTT утверждает, что спам-боту удалось инфицировать даже сервер ресурса habrahabr.ru. Именно это и позволило пользователям проанализировать Stealrat.

Известно, что скрипт написан на РНР, а к коду применялся обфускатор. Сообщается, что Stealrat принимает данные массивом POST методом в Base64. Замечено также повторение строки «die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321));».

Спам-сообщения формируются со случайными именами отправителей. При этом учитывается домен инфицированного сайта. Затем бот пытается отправить электронное письмо, используя функцию php – mail. Если последняя недоступна, то Stealrat рассылает письма, содержащие ссылки на сайты с контентом для взрослых. Происходит это «через проксирование html страничек».

Стоит отметить, что наименование скриптом происходит случайным образом (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php и пр.). Если папки не имеют индексного файла, или он пустой, используется index.php.

По утверждениям VladimirTT, исправить проблему можно только локально. Тем не менее, представители ресурса уже обратились за помощью в Trend Micro. Правда, компания пока никак не отреагировала на инцидент.

Неизвестно, на протяжении какого времени активен Stealrat, однако на текущий момент в логах зафиксировано свыше 580 тысяч POST обращений, порядка 1200 уникальных IP-адресов, а также зараженных ресурсов из 59 стран. Наибольшее количество инфицированных сайтов располагаются в Росси, США и Германии.

На сайте Pastebin можно просмотреть список всех зараженных сайтов из логов.
спам, бот, PHP, рассылка, php – mail, Stealrat
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код