• Home
  • WordPress – malware wp-vcd hacking

Negli ultimi mesi WP-VCD ha infettato i siti di parecchi utilizzatori di WordPress. Si tratta di un malware in grado di scaricare sè stesso, di infettare autonomamente il codice di parecchi file core di WordPress e di generare pop-up pubblicitari sul sito.

L’idea alla base di questa infezione è che gli Hackers guadagnino tramite queste pubblicità e grazie alle conseguenti visite che i siti infetti generano.


Malware WP-VCD, quali sono le cause dell’infezione

Le motivazioni sono fondamentalmente due: sul sito sono presenti vecchie versioni dei temi predefiniti di WordPress oppure plugins (o temi) provenienti da fonti non ufficiali.

Il malware WP-VCD è in grado di attaccare quei siti che hanno vecchie versioni risalenti al 2015 e 2016 dei temi base di WordPress stesso. Pare assurdo, ma esistono ancora parecchi siti che al loro interno hanno tali versioni, parcheggiate e non in uso.

L’altro caso critico è quello dei temi o dei plugin cosiddetti nulled. Tali prodotti, sprotetti e distribuiti “gratuitamente”, risultano la maggior parte delle volte infettati dai siti che ne permettono il download in tale veste.


WP-VCD e tecnica di diffusione

Una precisazione importante è che questo malware può propagarsi in tutte le installazioni di WordPress presenti nell’Hosting. In particolarmente se ad essere infettata per prima è l’installazione che parte dalla root dell’Hosting stesso.

Il malware infetta il codice del file fuctions.php del tema in uso, ma anche di tutti quelli installati e disabilitati. Queste stringhe di codice scaricano da un host remoto il file code.php per poi rinominarlo e creare differenti istanze del medesimo nella directory WP-INCLUDES di WordPress.

E’ il caso quindi di:

  • wp-vcd.php
  • wp-tmp.php
  • wp-feed.php
  • in alcune varianti class.wp.php (attenzione perchè esiste una classe WordPress wp-class.php da non confondere)
  • in certi casi class.theme-modules.php (questo potrebbe essere nella wp-includes, ma anche nella directory che contiene il template)

Questi  file di norma non esistono nel core del CRM: il malware assegna loro nomi plausibili e simili ai file originali di WordPress stesso.

Non finisce qui. WP-VCD genera backdoors in altre directory (non sempre le stesse) per consentire all’hacker di tornare ad infettare il vostro sito, qualora eliminerete i suddetti file. Infatti molti utenti si sono visti rigenerare il malware dopo pochi giorni dall’eliminazione dei file e dopo aver ripulito il file fuctions.php dei temi.


Comportamento di un sito infetto

Il malware genera automaticamente pubblicità pop-up che si aprono quando gli utenti visitano il sito. In genere propongono una pulizia del dispositivo perché infetto da virus, oppure informano di false vincite tramite le classiche “congratulazioni hai vinto un iphone”.

Nella maggior parte dei casi spingeranno l’utente ad abbandonare il vostro sito.

Da tenere bene a mente che Google, Facebook ed i maggiori advertiser – poiché riconoscono il vostro sito come rischioso – sospenderanno le campagne pubblicitarie provenienti dal vostro sito.

Per il medesimo motivo, il sito infetto è penalizzato in particolare da Google e dai maggiori motori di ricerca. La conseguenza immediata è la perdita nel posizionamento e l’inserimento in una sorta di black list dei motori di ricerca.

Lascio all’immaginazione l’impegno successivo da proferire per rimuovere il sito da tale blacklist.


Come risolvere

La soluzione è complessa e lunga.

  • Reinstallare il template originale (non quello nulled piratato!)
  • Cancellare via ftp tutti i template installati non in uso
  • Rimuovere il codice sospetto da tutti i functions.php di tutti i template installati (anche se non in uso!)
  • Eliminare i file generati nella directory wp-includes (class.wp.php, wp-vcd.php, wp-tmp.php, wp-feed.php), ed eventuali sparsi (come class.theme-modules.phpadmin.txtcodexc.txtcode1.php, code.php…)
  • Verificare nel database la presenza dei succitati file (eventualmente eliminare il codice maligno iniettato ed i nomi file stessi)
  • Eliminare tutta la cache del sito
  • Installare un Antimalware e Web Application Firewall (WAF) in ogni istanza di WordPress presente nel vostro Hosting. Consiglierei Wordfence.
  • Lanciare scansioni regolari
  • Non usare mai versioni nulled di temi o plugin.

Segui @andymnc (Andrea Manconi) su Twitter per essere sempre aggiornato su guide ed articoli


Condividi: