Спам-бот Stealrat использует для рассылки функцию php – mail

Спам-бот Stealrat использует для рассылки функцию php – mail

Спам-сообщения формируются со случайными именами отправителей с учетом домена инфицированного сайта.

В Сети появилась информация о масштабном спам-боте под названием Stealrat. О существовании вредоносной сети сообщил пользователь habrahabr.ru под ником VladimirTT. По его словам, для рассылки нежелательной корреспонденции Stealrat использует ряд незащищенных CMS, в том числе WordPress, Joomla!, а также Drupal.

VladimirTT утверждает, что спам-боту удалось инфицировать даже сервер ресурса habrahabr.ru. Именно это и позволило пользователям проанализировать Stealrat.

Известно, что скрипт написан на РНР, а к коду применялся обфускатор. Сообщается, что Stealrat принимает данные массивом POST методом в Base64. Замечено также повторение строки «die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321));».

Спам-сообщения формируются со случайными именами отправителей. При этом учитывается домен инфицированного сайта. Затем бот пытается отправить электронное письмо, используя функцию php – mail. Если последняя недоступна, то Stealrat рассылает письма, содержащие ссылки на сайты с контентом для взрослых. Происходит это «через проксирование html страничек».

Стоит отметить, что наименование скриптом происходит случайным образом (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php и пр.). Если папки не имеют индексного файла, или он пустой, используется index.php.

По утверждениям VladimirTT, исправить проблему можно только локально. Тем не менее, представители ресурса уже обратились за помощью в Trend Micro. Правда, компания пока никак не отреагировала на инцидент.

Неизвестно, на протяжении какого времени активен Stealrat, однако на текущий момент в логах зафиксировано свыше 580 тысяч POST обращений, порядка 1200 уникальных IP-адресов, а также зараженных ресурсов из 59 стран. Наибольшее количество инфицированных сайтов располагаются в России, США и Германии.

На сайте Pastebin можно просмотреть список всех зараженных сайтов из логов.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь