Спам-сообщения формируются со случайными именами отправителей с учетом домена инфицированного сайта.
В Сети появилась информация о масштабном спам-боте под названием Stealrat. О существовании вредоносной сети сообщил пользователь habrahabr.ru под ником VladimirTT. По его словам, для рассылки нежелательной корреспонденции Stealrat использует ряд незащищенных CMS, в том числе WordPress, Joomla!, а также Drupal.
VladimirTT утверждает, что спам-боту удалось инфицировать даже сервер ресурса habrahabr.ru. Именно это и позволило пользователям проанализировать Stealrat.
Известно, что скрипт написан на РНР, а к коду применялся обфускатор. Сообщается, что Stealrat принимает данные массивом POST методом в Base64. Замечено также повторение строки «die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321));».
Спам-сообщения формируются со случайными именами отправителей. При этом учитывается домен инфицированного сайта. Затем бот пытается отправить электронное письмо, используя функцию php – mail. Если последняя недоступна, то Stealrat рассылает письма, содержащие ссылки на сайты с контентом для взрослых. Происходит это «через проксирование html страничек».
Стоит отметить, что наименование скриптом происходит случайным образом (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php и пр.). Если папки не имеют индексного файла, или он пустой, используется index.php.
По утверждениям VladimirTT, исправить проблему можно только локально. Тем не менее, представители ресурса уже обратились за помощью в Trend Micro. Правда, компания пока никак не отреагировала на инцидент.
Неизвестно, на протяжении какого времени активен Stealrat, однако на текущий момент в логах зафиксировано свыше 580 тысяч POST обращений, порядка 1200 уникальных IP-адресов, а также зараженных ресурсов из 59 стран. Наибольшее количество инфицированных сайтов располагаются в России, США и Германии.
На сайте Pastebin можно просмотреть список всех зараженных сайтов из логов.
Одно найти легче, чем другое. Спойлер: это не темная материя