再次警告：不要使用WordPress盜版主題和插件，避免受到WP-VCD惡意感染

倡萌在去年11月底發(fā)布了《警惕通過WordPress盜版主題和插件傳播的惡意代碼WP-VCD》，警告大家不要使用盜版的WordPress主題和插件，這個名為 WP-VCD 的惡意腳本已經(jīng)在世界多個盜版網(wǎng)站上傳播，被添加在各種各樣的WordPress盜版主題和插件中，很多人中招！

WP-VCD通過修改 WordPress 核心文件并在/wp-includes目錄中添加新文件，WP-VCD惡意軟件在WordPress站點中創(chuàng)建了后門。注入惡意軟件后，它會在WordPress后臺上秘密創(chuàng)建一個用戶名為“100010010”的管理員賬戶。這樣一來，它便可以訪問您的網(wǎng)站，然后可以注入更多的惡意代碼以供以后濫用。

盜版冠狀病毒插件傳播WP-VCD

最近新冠病毒在全球的影響非常大，國外有人開發(fā)了 COVID-19 Coronavirus-Live Map 之類的WordPress插件，用來顯示新冠病毒在全球的疫情信息。攻擊者就將這類插件加上了 WP-VCD 惡意腳本然后發(fā)布到多個盜版網(wǎng)站進行傳播。

最近，MalwareHunterTeam與BleepingComputer分享了一些WordPress插件示例，這些示例在VirusTotal上被標記為“ Trojan.WordPress.Backdoor.A”。

這些WordPress插件和另一個我們發(fā)現(xiàn)的zip文件包含似乎是合法的商業(yè)插件，名為“ COVID-19 Coronavirus-Live Map WordPress插件”，Coronavirus Spread Prediction Graphs和“ Covid-19”。

BleepingComputer分析了它們之后，我們發(fā)現(xiàn)所有這些插件都包含一個“ class.plugin-modules.php”文件，其中包含惡意代碼和各種與WP-VCD插件通常相關的base64編碼的字符串。

安裝插件后，它將在上面顯示的WP_CD_CODE變量中使用base64編碼的PHP代碼，并將其保存到/wp-includes/wp-vcd.php文件中。

然后，它將代碼添加到/wp-includes/post.php文件中，以便每次在站點上加載頁面時自動自動加載wp-vcd.php。

該插件還將搜索所有已安裝的主題，并將另一個base64編碼的PHP代碼添加到每個主題的functions.php文件中。

通過這些文件修改，WP-VCD代碼現(xiàn)在將重新連接到其C2服務器，以接收要在WordPress主機上執(zhí)行的命令。 這些命令通常用于注入可在該站點上顯示惡意廣告或執(zhí)行重定向到其他站點的代碼。

檢查你的網(wǎng)站是否被WP-VCD感染

根據(jù)對 WP-VCD 的分析，可以從以下幾個方面檢查是否受到 WP-VCD 感染：

• 網(wǎng)站是否被惡意跳轉到其他網(wǎng)站，或被google、QQ 等標識為危險網(wǎng)站
• 網(wǎng)站是否有來路不明的管理員賬號，比如 100010010
• 網(wǎng)站的 /wp-includes/ 目錄下是否有 wp-vcd.php 文件
• 網(wǎng)站的 /wp-includes/post.php 文件是否被添加了 wp-vcd.php 之類的代碼
• 網(wǎng)站主題的 functions.php 文件是否被添加了 base64編碼的PHP代碼
• 網(wǎng)站各個插件的文件夾內，是否有名為 class.plugin-modules.php 的文件

如果發(fā)現(xiàn)有可疑的地方，建議找專業(yè)的人來協(xié)助處理，也可以聯(lián)系倡萌付費處理。

保護您的網(wǎng)站免受WP-VCD感染

由于WP-VCD惡意軟件是通過盜版WordPress主題和插件傳播的，因此避免感染您的網(wǎng)站的最佳方法是不要從未經(jīng)授權的網(wǎng)站下載任何WordPress插件和主題。

因為具有一點PHP知識的人都可以輕松修改插件和主題，所以下載和安裝盜版插件始終是非常不安全的。

強烈建議您僅從授權站點購買和下載WordPress主題和插件，不要安裝任何盜版主題和插件，因為您的站點很有可能會受到威脅。

除了不要到國外下載盜版主題以外，連同國內傳播的各種來路不明的國內外高級主題和插件、漢化主題和插件都要小心，因為國內發(fā)布的這些國外高級主題和插件，幾乎都是從國外盜版網(wǎng)站下載的！！存在非常大的安全隱患！！