Периодически файлы на серверах проверяются антивирусом. Если в результате проверки обнаруживается вредоносное ПО, то антивирус его пытается удалить и поместить на его место информационный файл, а также сообщить администратору.

Сегодня при проверке был обнаружен Backdoor.Win32.CryptPHP.a в архиве модуля для SocialEngine 4, который был загружен одним из пользователей форума. Сам модуль назывался module-photoviewer-4.2.9p1.

Зараженные файл располагается в двух местах:

  • module-photoviewer-4.2.9p1/application/modules/Photoviewer/images/social.png;
  • module-photoviewer-4.2.9p1/application/modules/Headvancedalbum/images/social.png;

 

Замаскирован под картинку social.png, но на деле текстовой файл. Содержит php-код, часть которого зашифрована.

Сейчас архив с модулем очищен. В корне располагается текстовой файл virus.txt с упоминанием о ранее обнаруженном и удаленном вредном ПО.

Напоминаем, смотрите внимательно, что скачиваете из интернета.

Читать далее