問題タブ [malware]

こんにちは、php アプリケーションに特定のコードが挿入されているのを見つけました。これがどのように可能であるかを知っている人はいますか?また、そのような注射を避ける方法を説明してくれますか. コードは img タグの src 属性の下にあります。このコードが何をするのかを理解するのを手伝ってください。

これは、NOD32がこのコードにJS / Redirector.NILトロイの木馬という名前のトロイの木馬があると言っているワードプレステーマのfunction.phpです。マルウェア・コードの行数を見つけるのを手伝ってください。私はコード全体を一撃で書きます：

これに関する情報はどこにも見つかりませんでした。ウイルス署名に最低限必要な長さはありますか? Peter Szor の著書を読んだことがありますが、16 ビット アプリケーションの場合、誤検出を回避するためにも 16 バイトで十分です。32 ビットと 64 ビットのアプリケーションにも同等の最小値はありますか?

ありがとう。

ある事実、悪意のあることを実行するJavaScriptスクリプトファイルが含まれていることを知っているPDFファイルがありますが、現時点では実際には何がわかりません。

PDFファイルを正常に解凍し、プレーンテキストのJavaScriptソースコードを取得しましたが、これまでに見たことのないこの構文に隠されている場合は、コード自体です。

コード例：これは、コードの大部分がどのように見えるかです

長い変数/関数名と非表示のテキスト文字を使用したこの表記は、これらのタイプのものを検索するスキャナーを混乱させるためだと思います。

2つの質問：

質問1

誰かがこれが何と呼ばれているのか教えてもらえますか%u4141？

質問2

その表記を平文に変換して、それが何をしているのかを確認できるツールはありますか？

完全なJSコード：

Windows でコード署名がどのように実装されているか (具体的には PE 実行可能ファイル) に関する特定の情報が見つかりません。アプリに署名する方法に関するチュートリアルはたくさんありますが、これは私が望んでいるものではありません。低レベルの詳細を探しています。

セキュリティとデータの整合性に関する記事を書いていますが、署名されたコードがマルウェアによって「署名されていない」可能性があるかどうかについての情報が見つかりません。

ありがとう。

私のインターネット Web サイトは、次のコードに感染し続けています。私はそれを削除し続けますが、いつかまたそこにあるかもしれません。助けてください。

編集：コードが再び発生した場合、コードがどのように発生したかを調べる方法はありますか. それはプロバイダーからのものでしょうか？また、1 つのアカウントだけでなく、すべてのアカウントが感染していると言わざるを得ません。

私は現在、静的にコンパイルされているように見えるファイルをリバース エンジニアリングしていますが、IDA Pro は署名を検出していません! IDA によって認識されるべき関数をステップ実行するのに多くの時間を費やしているように感じますが、そうではありません。

とにかく、私は間違っているかもしれません...誰かアイデアはありますか？誰もこれに遭遇したことがありますか？

Qt と C++で、インターネットへの接続を支援する小さなプログラムを作成しました。アプリはうまく機能しますが、.exe（またはインストーラーを）ダウンロードすると、Google Chromeはそれをマルウェアとして認識します。Microsoft Security Essentials でアプリをスキャンしても、問題は返されません。

QFile、QString、QtextStream、QPointer、QWebview、QWebFrame、QWebElement、QUrl、QDesktopServices、QStringList、QEventLoop でQt を使用しています。

誰もこの問題を解決する方法を知っていますか?

私たちの Web サイトの一部のユーザーは、サイトにアクセスしたときに「トロイの木馬の脅威」の報告を受け始めています。これを聞いた後、マルウェア コードを検索しましたが、どこにも見つかりません。

Sucuci SiteCheck プラグインをインストールしたところ、次のように報告されました。

http://sitecheck.sucuri.net/scanner/?&scan=http://www.londonirishcentre.org

不正なコードを見つける方法を知っている人はいますか? WP の新規インストールが最適であることはわかっていますが、サイトには非常に多くのカスタム作業が行われているため、それは最後のオプションに任せたいと思います。

どんな助けでも大歓迎です。

最近、サードパーティ経由で広告を購入した広告主が、購入した広告を介してマルウェアを配布していたという問題がありました。

これにより、Google のウェブ プロパティが短期間ブラック リストに登録されました。

この問題は解決されました。

これが起こった後、私たちは広告主を自己評価することに決めました.

このサービスを提供するサービスを Web で検索したところ、いくつか見つかりました... Armorize (www.armorize.com) などは、この種のサービスを提供しています。しかし、彼らのセールスと電話で話したところ、このサービスに対して年間約 10,000 ～ 15,000 米ドルを請求していることがわかりました。当社の価格帯をはるかに超えています。

そんなケーキはありません。

私たちが持っているのは、私たちの（ええと、私の）肩にスマートな頭です。

だから、ここに私が開発したものがあります。

結果？

広告主の URL のパイプ -> Selenium Firefox -> Squid アクセス ログ -> 広告によってヒットしたすべての URL のきれいなリスト。

次のステップは、ある種のマルウェア リストに対してこれらをテストすることでした。現在、googles safebrowsing API ( https://developers.google.com/safe-browsing/ ) に対してテストしています。

結果はまさに私たちが望んでいたものです。広告主がヒットした各 URL を「実際のブラウザ」でテストする方法。

したがって、質問は次のとおりです。

a) Google に関する限り、このような (Google) API の使用は許容されますか? これは 100% 自社で保管し、このサービスを再販することはありません。私たちのためのその 100%。

b) Google セーフ ブラウザ API は完全な URL のチェックを許可しますか、それともドメイン単位でのみ機能しますか?

c) これらの URL をテストできる他の A​​PI を知っている人はいますか? 無料/低コストは素晴らしいでしょう:)

ありがとう！