新發(fā)現(xiàn)的惡意軟件針對(duì)Magento電商，并具備自恢復(fù)功能，可在被刪除后恢復(fù)自身。

自恢復(fù)惡意軟件不是什么新鮮事物，近30年前就有類(lèi)似威脅被曝光。這第一例自恢復(fù)惡意軟件名為“揚(yáng)基曲( Yankee Doodle，非正式美國(guó)第二國(guó)歌 )”，是一款駐留內(nèi)存的木馬，可感染.com和.exe文件。該惡意軟件于1989年9月被發(fā)現(xiàn)，只要進(jìn)駐內(nèi)存，便會(huì)在每天下午5點(diǎn)鐘播放《揚(yáng)基曲》。

最近剛被發(fā)現(xiàn)的Magento電商惡意軟件，使用了數(shù)據(jù)庫(kù)觸發(fā)器來(lái)在被刪除時(shí)恢復(fù)自身：每次觸發(fā)新指令，注射進(jìn)去的SQL代碼都將搜索被感染Magento安裝，只要沒(méi)找到該惡意軟件，就再添加一次。該惡意軟件利用SQL存儲(chǔ)過(guò)程來(lái)實(shí)現(xiàn)該操作。

據(jù)分析了該威脅的研究人員稱(chēng)，感染點(diǎn)是對(duì)/rss/catalog/notifystock/的暴力攻擊，也就是被入侵電商沒(méi)有完全補(bǔ)上補(bǔ)丁的地方。

該惡意軟件會(huì)讓之前的清除流程無(wú)效化，因?yàn)閺谋桓腥居涗浿星宄魫阂獯a并不能保證感染從此消除。常規(guī)清除流程只對(duì)普通的JavaScript惡意軟件有效，畢竟普通JavaScript惡意軟件通常只注入到數(shù)據(jù)庫(kù)中靜態(tài)HTML定義的頭部或尾部。

新發(fā)現(xiàn)的惡意軟件，則會(huì)確保自恢復(fù)觸發(fā)器在每個(gè)新指令執(zhí)行時(shí)，都會(huì)被執(zhí)行一遍。“查詢(xún)會(huì)檢查該惡意軟件在頭部、尾部、版權(quán)和每個(gè)內(nèi)容管理軟件(CMS)塊中的存在情況，如果沒(méi)發(fā)現(xiàn)其存在，就會(huì)重新添加一遍自身。”安全研究人員解釋稱(chēng)。

發(fā)現(xiàn)該惡意軟件的安全研究人員認(rèn)為，如今，惡意軟件檢測(cè)應(yīng)包含進(jìn)數(shù)據(jù)庫(kù)分析，因?yàn)槲募呙枰巡辉儆行А?ldquo;該發(fā)現(xiàn)顯示出，我們?cè)庥隽藧阂廛浖M(jìn)化的新階段。”

雖然Magento和一些社區(qū)擴(kuò)展包含了合法觸發(fā)器，Magento商店的擁有者應(yīng)該能夠通過(guò)搜索可疑SQL代碼，來(lái)檢測(cè)該惡意軟件，比如包含有admin、.js或HTML標(biāo)簽‘<’的一些東西。

該研究人員更新了其惡意軟件掃描器( https://github.com/gwillem/magento-malware-scanner )以檢測(cè)該新模式，并提供了Magento安裝中發(fā)現(xiàn)可疑代碼后的清除指南。網(wǎng)站測(cè)試社區(qū)MageReport.com也更新了該新模式的信息。