WordPress malware – visitorTracker_isMob

Jag läste här, http://securityaffairs.co/wordpress/40236/cyber-crime/wordpress-sites-serving-malware.html, att just nu smittas *många* wordpressinstallationer av en smitta som kallas visitorTracker_isMob. Läs mer på länken ovan för information.

Ett enkelt sätt att kontrollera om du har fått din eller dina installationer smittade är att göra så här

Gå till katalogen där din/dina webbar finns installerade, hos mig skriver jag cd /var/www
Scanna alla filer efter strängen visitorTracker_isMob, hos mig skriver jag sudo grep -R visitorTracker_isMob *

Har du många webbar kan det ta en stund då kommandor går igenom *alla* filer och kollar om strängen visitorTracker_isMob finns. Det går säkert att gör det snabbare genom att byta ut * mot *.js (smittan gömmer sig i javascriptfiler), men för att vara riktigt säker så kör jag *

 

Smitta i datorn

I går kväll råkade jag ut för en liten smitta i min maskin, “Virusscan 2008”, eller en variant. Som vanligt när man försöker rensa en smittad maskin så brukar man vara spärrad från att starta registret.

Spara ner koden här nere som en .vbc fil och kör den så får du access till registret. Smittan är nu borta och jag har lärt mig lite till, en sak jag lärt mig är att inte riktigt lita på virusprogram :-)  Det varnade inte alls.

‘Enable/Disable Registry Editing tools
‘© Doug Knox – rev 12/06/99

Option Explicit

‘Declare variables
Dim WSHShell, n, MyBox, p, t, mustboot, errnum, vers
Dim enab, disab, jobfunc, itemtype

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"
p = p & "DisableRegistryTools"
itemtype = "REG_DWORD"
mustboot = "Log off and back on, or restart your pc to" & vbCR & "effect the changes"
enab = "ENABLED"
disab = "DISABLED"
jobfunc = "Registry Editing Tools are now "

‘This section tries to read the registry key value. If not present an
‘error is generated.  Normal error return should be 0 if value is
‘present
t = "Confirmation"
Err.Clear
On Error Resume Next
n = WSHShell.RegRead (p)
On Error Goto 0
errnum = Err.Number

if errnum <> 0 then
‘Create the registry key value for DisableRegistryTools with value 0
    WSHShell.RegWrite p, 0, itemtype
End If

‘If the key is present, or was created, it is toggled
‘Confirmations can be disabled by commenting out
‘the two MyBox lines below

If n = 0 Then
    n = 1
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & disab & vbCR & mustboot, 4096, t)
ElseIf n = 1 then
    n = 0
WSHShell.RegWrite p, n, itemtype
Mybox = MsgBox(jobfunc & enab & vbCR & mustboot, 4096, t)
End If