なぜマルウェアは他のマルウェアを削除しようとするのですか?
最近、phpベースのWebサイトがマルウェアに感染した可能性があります(おそらくFTPパスワードが盗まれたため)。
基本的に、30分ごとにファイルframe_cleaner_php.phpがアップロードされ、HTTP-GETが実行されて実行され、削除されました。ファイルのコピーを傍受して分析することができました。
難読化されておらず、非常に読みやすかった。
本質的にすべてのphpファイルを再帰的にスキャンし、一般的なotherマルウェア(<?php eval(base64_decode("または<?PHP # Web Shell by oRbなど)による感染のシグネチャを20個探し、大まかに削除しましたその感染症とライン。
誤検知のために、自分のphpファイルのいくつかの行を削除すると、サイトがダウンします。これはおそらくマルウェアの意図しない副作用でした。
大きな問題:なぜマルウェアがこれを行うのか、何が得られるのか?
私が見ているように2つの説明があります。
箱の上で戦う
さまざまな種類のマルウェアは、独力でボックスを所有し、他の人と共有しないことを望んでいます。したがって、システムにパッチを適用して他のマルウェアを削除し、作成者にバックドアを残そうとします。
倫理的なワーム
他のマルウェアにパッチを適用して削除するためだけに広がるマルウェアは、「ホワイトワーム」または「エシカルワーム」と呼ばれることがよくあります。これらのタイプのワームには、非常に多くの責任問題があるため、多くの場合、見られません。
Karraxの答えを拡張する:
ボックスの感染数が多いほど、感染の確率は高くなります(少なくとも1つ)。また、ボックスがワイプまたはクリーンアップされると、マルウェアのゲームオーバーになります。
したがって、他の感染をクリーンアップしたり、システムにパッチを適用したりすることで、マルウェアは自身の存在を維持しようとします。
一部のマルウェア作成者は、他のマルウェア作成者を嫌うグループの一部です。あるフットボールチームが別のフットボールチームを好きではないようなものです。彼らは両方ともサッカーの助成を見たいと思っていますが、それが起こったときに他のチームがそこにいることを望んでいません。
ここにいくつかの良い答えがあります。
理由を理解するには、感染したWebサーバーが、感染した人に金銭的価値があることを理解する必要があります。トラフィックのルーティング、他のサイトのホスティング、スパムの配信、DDoSなど、あらゆる種類のアクティビティに貸し出される可能性があります。
サーバーに複数の感染がある場合、それは共有されていることを意味し、1人がマルウェアをホストするために使用される可能性がありますが、別のサーバーが分散型サービス拒否攻撃(DDoS)攻撃を実行するために使用している可能性があります。これらの男の1人がIPをブラックリストに登録した場合、他の人には役に立たない。
これに加えて、脆弱性やその他のマルウェアをボックスから削除することで、他のユーザーを削除するか、他のマルウェアを削除してボックスを制御できなくなります。
犯罪者のハッカーグループは、富を互いに共有することを好まないだけです。それがあなたの収入の流れを妨害しているなら、あなたはそれを走らせたくないので、あなたはそれを無効にします。さらに、セキュリティに関して、ボットネットを実行している場合、別のボットネットが戦術の収集情報にアクセスできるようにしますか?
運用上のセキュリティ、それは正直な人だけのためではありません...