Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: Central Command

Een nieuw fenomeen heeft zijn intrede gedaan: Het PHP virus. Waar voorheen de zwakheden in de programmatuur van Microsoft altijd ten prooi vielen aan de bezigheden van gefrustreerde programmeurs, is nu ook een veelgebruikte scripttaal uit de Open Source community aan de beurt. Dit - voor zover bekend (dus niet) - eerste virus in PHP is vrij onschuldig, maar dat neemt niet weg dat de potentie daar is.

Het virus, genaamd PHP.NewWorld probeert files te infecteren met de extenties .php, .hm, .html of .htt. Het zoekt deze files in de C:\Windows directory, en dus lopen vooralsnog enkel Windows-gebruikers het risico ge´nfecteerd te worden. (Ik ken geen Linux-gebruikers met een C:\Windows directory )

Wanneer de gebruiker een .php file uitvoert, wordt hiermee een extern deel van het virus geactiveerd. Indien de string 'NewWorld.PHP' al bestaat, doet het virus niets. Een file kan dus niet twee keer besmet worden. Daarnaast is er in dit virus geen mechanisme ingebouwd ter verspreiding van het virus. Central Command had er onder meer het volgende over te zeggen:

PHP logoPHP (www.php.net), is one of the most popular scripting languages used in the development of e-commerce and heavy content websites. It gained its popularity thanks to its user-friendly programming features and the incorporation of cross platform compatibility between Windows, Linux, and UNIX environment features included within the language.

ôThis virus is not dangerous in any kind, but it can be modified to have a very destructive payload and marks a new step towards a new virus generation,ö said Steven Sundermeier, Product Manager at Central Command, Inc.

The PHP programming language has become a standard in dynamic website development. A majority of websites that incorporate user interaction and personalization rely on PHP, making it an appealing target for virus writers.

Ondanks dat dit virus dus vrij onschadelijk is, rijst toch de vraag wat ons in de toekomst te wachten staat. Het is niet onvoorstelbaar dat er in de toekomst variaties komen op dit virus, welke vele malen schadelijker zijn dan het hier genoemde.

Update

Zoals door goed ge´nformeerde lezers al werd aangeduid, is dit niet het eerste PHP-virus. Die eer gaat naar het PHP.Pirus virus

Bedankt bonobo voor deze link

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (47)

Eerst virus in PHP? en PHP-Pirus dan? Die was al 1,5 maand geleden al, en werkte (ook) onder *n*x-systemen.

[update]
Meer info:
http://www.symantec.com/avcenter/venc/data/php. pirus.html
[/update]
Het is idd al oud nieuws. Dit bericht is van 9 nov.

PHP Virus Spotted
Symantec have found what appears to be the first virus written in PHP. The
virus searches for other PHP and HTML files on disk and inserts code to call
itself. Of course this virus cannot be contracted by simply visiting an
infected Web page, it requires an infected page to be installed on your
server.

http://www.sarc.com/avcenter/venc/data/php.piru s.html

* 786562 The
Jongens (en meisjes) wakker worden.

Wanneer wordt dit virus geactiveerd? Nou niet als je op een website met PHP kijkt, en ook niet als je zomaar van iemand een bestandje krijgt met het virus erin.

Om geactiveerd te worden, moet je PHP geinstalleerd hebben op je (Windos-)webserver en dan het virus (dat je per mail is toegezonden ofzo) met de hand starten.

Ik vraag me af of in Windos geen onderscheid gemaakt tussen de extensies van "gewone" bestanden en de bestanden die IIS voor je start, d.i. als je een ".PHP" bestand in IIS door de PHP-parser laat parsen, gebeurt dat dan ook in Windows? Anders zou er nog een extra stap moeten volgen: je moet het virus dan op de juiste plek zetten (in de webroot) en vervolgens in de browser het virus opvragen.

Je kunt in nagenoeg elke programmeertaal een zichzelf reproducerend stukje code schrijven. Maar om nu al die programma's meteen virussen te noemen... daarvoor is meer nodig: een populatie gebruikers, een besmettingskans en een verspreidingsmogelijkheid.

In dit geval is niet alleen de verspreidingsmogelijkheid nul, ook de besmettingskans is nagenoeg nul - ik bedoel, je hebt zo ongeveer een handleiding nodig om het virus op te lopen.

Weet je wat gevaarlijk is? DOS .BAT-bestanden!
http://www.hacktic.nl/magazine/2022.htm
http://www.hacktic.nl/magazine/2422.htm
Die laatste URL is het leukst! natuurlijk gebeuren zulke dingen alleen op de Noordelijke Hogeschool Leeuwarden ;-)

Als wij een gat in de beveiliging vinden (HTS-Informatica-ers) en we zouden direct naar het centrale systeembeheer gaan worden we zo geschorst... Dus gaan we naar een docent of eigen systeembeheerder en die waarschuwt die lui aan de overkant :'(

En helaas voor het PHP virus installeer ik Windows 98SE altijd in C:\Win98SE
Ik vraag me af of in Windos geen onderscheid gemaakt tussen de extensies van "gewone" bestanden en de bestanden die IIS voor je start, d.i. als je een ".PHP" bestand in IIS door de PHP-parser laat parsen, gebeurt dat dan ook in Windows? Anders zou er nog een extra stap moeten volgen: je moet het virus dan op de juiste plek zetten (in de webroot) en vervolgens in de browser het virus opvragen.
Heel juist gezegd. Elke webserver moet weten dat als er een .php of een .php3 door de php-engine gehaald moet worden.

maar.....
When a user executes a .php file, the virus body will be executed from an external file and will take full control.
Hmm, hier las ik vannacht even overheen... Jammer dat ze er niet bij zeggen hoe dit ding dan geactiveerd wordt. Er moet toch eerst ergens anders iets gebeuren voordat dit optreedt....
Voor de mensen die geen webserver hebben.

Alternatieve handleiding PHP-viri:

-Download de source van de PHP-Hypertext Preprocessor.
-Lees de readme en volg de intructies voor het compilen van de CGI versie.
-Download het virus (Of wacht tot je een ons weegt en geinfecteerd bent)
-Log in als root of wordt dit met su
-Start het virus met
php <virusnaam>
evt aangevuld met de volledige paths

Voordelen van deze manier van starten:
-Er is geen noodzaak een webserver noch een browser te installeren. Wat de zaak ontzettend bemakkelijkt.
-Het virus heeft root rechten, waardoor je het tot de volle 100% benut en niet afhankelijk bent van wat user nobody wel en niet mag

* 786562 CharString
edit:
-0 overbodig, doch grappiger dan de posting van dakhaas :+
gewoon in de source van een PHP tje kijken

dan zie je wel of je geinfecteerd bent
Grrrrr, konden ze niet zwijgen daarover :(
Effe uitleggen waarom, er waren totaal geen php virusen, nu is er 1, hup, veel publiciteit, en ja, nu gaan veel mensen php inzien als mogelijk virus aanpaak materiaal, en nu gaat ge de php virus count zien stijgen... :( :( :(
Jammer, Php was zo mooi en proper (virus wize tenminste)...
Zwijgen over dergelijke dingen is GEEN goed idee IMHO.
Diegene die stoute dingen :) willen doen zullen dit toch te weten komen hoor.. sneller dan de gewone users.
Deze malicious users hebben goeie interne communicatie.
Met het publiceren van dit is tenminste bekend dat er een probleem is. Ook maatregelen ertegen zullen onder maatschappelijke druk sneller tot stand komen (indien mogelijk).
Ik snap het idee van het virus niet helemaal. Het is zelf een php-script en het infecteerd andere php-scripts op dezelfde webserver.
Hoe komt het script nu op een webserver terecht?
Hoe komt het script nu op een webserver terecht?
mja omdat de webmaster het er opzet.. En verder kan het script alleen maar andere scripts infecteren als het daar de schrijfrechten voor heeft. En ik ken geen enkele webserver waar de php files schrijfbaar zijn voor user www-date (waar de webserver onder draait)

Ofwel: niks te vrezen
Om precies te zijn.. iemand maakt een scriptje en zet voor de lol dat virus erop.. pleurt het op hotscripts.com ofzow en iemand anders vind dat scriptje leuk, gebruikt het, zet het op de webserver en tjakka.. zo komt het er.. dus virus zou zich niet echt snel verspreiden :)

en dat is maar GOED ook!
Het 'virus' komt niet echt gevaarlijk over op mij, als ik de reacties hier lees. Is maar goed ook, anders had ik een probleempje ;)
Volgens mij is het de website die de bezoeker gaat infecteren. De webmaster is dus een 'slecht' persoon.
Nope, de php scripts worden aan de server kant uitgevoerd en geven html (xml) naar de bezoeker toe. Als je met een php script op een server de bezoeker kunt infecteren heb je een behoorlijk gat in je browser want dan kan iedere pagina (die je hetzelfde stuurt) je infecteren.

Het is een php script dat nadat het is geinstalleerd andere php scripts op dezelfde server infecteerd.
c:\windows ? en c:\winnt dan of mensen die bv c:\w98 hebben ??? hebben die er geen last van?
%WINDIR% intikken en wat krijg je dan? Yep, c:\windows', c:\w98, of c:\winnt.
Ik denk dat diegenen er inderdaad geen last van zullen hebben. Dat hangt ook af van de complexiteit van het virus. Als het virus de installatiemap van Windows uit het register haalt is het natuurlijk wel een heel ander verhaal aan het worden :8>
Echt een virus is het ook niet als je mij vraagt. Je moet zelf met de hand het php bestandje runnen.
Zo ken ik er nog wel een:
\[virus.bat]
__del c:\command.com
__del c:\boot.ini
__echo "del c:\command.com" >> c:\autoexec.bat
\[/virus.bat]
of een exefile:
\[VBvirus.exe]
__kill "c:\command.com"
__kill "c:\boot.ini"
__end
\[VBvirus.exe]
edit:
c:/ :+
Een virus volgens de letter van de definitie is het inderdaad niet.. dat moet oa zichzelf ook nog kopieren.
Maar met de benaming virus is wel meteen de intentie van het stukje programmacode duidelijk he.
Het is ook een heel primitief virus.. maar net als dat bat bestandje, dat brachten mensen in in een "spelletje"ofzow.. snappie, simpel, maar DODELIJK effectief.. de vraag is echter of PHP wel zulke gevaarlijke dingen kan met een eindgebruiker omdat de browsers een heel sterk punt zijn, terwijl C++ progjes en Visual Basic progjes ed. rechtstreeks op je PC komen zonder tussenkomst van de zwaar beveiligde browser
IEDER virus moet eerst gerund worden voordat et iets doet toch :?

lijkt me dus vrij kromme vergelijk
Ja elk virus moet wel gerund worden, maar niet elk virus moet _handmatig_ gerund worden. Dit php virus moet je zelf uitvoeren, en dat is niet met alle virii zo.

Een virus dat gebruikt maakt van een exploit in Microsoft IE bijvoorbeeld kan gerund worden als je ergens langs surft, een virus dat gebruik maakt van een exploit in MSoutlook kan actief worden als je je mail alleen maar leest. Een doc-file van microsoft office kan ook een (macro) virus bevatten, dat runt als je gewoon het bestand leest/opend. Zo heb je ook virussen die zich in een exe-file nesten.

Ik vind dit niet echt een virus omdat een beetje computeraar niet zomaar een programma runt. In die zin vind ik het I-Love-you virus ook geen echte, het is gewoon een programmaatje. Wat het wel een virus maakt is dat het zichzelf vermenigvuldigt.
Het blijft een beetje gezemel over definities, maar een virus is een stuk software dat zichzelf kan kopieeren. (ik weet zo niet wie deze definitie heeft bedacht).
Dit kopieeren hoeft het niet automatisch te kunnen, volgens deze definitie is het cp commando ook een virus ;)
Tja, je kunt er 2 dingen op doen:

1 de duurste virusscanners kopen en braaf 3 maal daags (bij voorkeur vlak voor of na de maaltijd, doorslikken met veel water }>) een update downloaden

2 dat niet doen en zorgen dat je niets belangrijks op je pc hebt staan tenzij gebackupt

* 786562 stefana3a
3e catogorie.. de virusscanner Esafe (www.esafe.com) update zichzelf automatisch en beschermd tegen websites.. duzz je hoeft geen flikker meer te doen! yezz
Ok, wat gebeurt er als je een .php bestand opent onder windows:

Als je hebt gezorgt dat php als cgi-draait kan het betekenen dat dit script onder windows is geregistreerd als een php file (en dus de php parser telkens uitgevoerd wordt). Als dit zo is, dan hoef je enkel op een .php bestandje te klikken en hij wordt uitgevoerd.
(kans op infectie:
nihil: mensen die php hebben draaien op een machine gebruiken dit -hoogst waarschijnlijk- voor hen webserver... deze machine zal dan ook als webserver gebruikt worden: Alleen toegankelijk voor staff medewerkers etc, wordt hoogstens benaderd via ftp om nieuwe pagina's / scripts te uploaden. Wat dus betekend dat niemand op die machine zijn e-mail zal gaan lezen.)

Linux:
Tja, wat zal ik zeggen :)... download het bestand, plaats het in je homedir, chmod 775 op het php bestand, doe su - <enter> <password> <enter> cd naar je home dir en voer het scriptje uit. Nu moet je hopen dat je de cgi-versie van php hebt geinstalleerd en dat deze natuurlijk ergens op een standaard plek staat :)..
En dan kun je genieten van je pas gekregen virusje...
(dit gaat trouwens wel veranderen met de 2.4.0 kernel.. maargoed... dat zien we dan wel weer)...
Sorry, maar ik heb het artikel gelezen en het baart mij geen enkele zorgen...
Als het al een virus mag zijn is het een windows-virus en ik denk dat zo goed als geen enkele php-site draait onder windows (volgens mij zijn dat alleen maar ontwikkelsites - nix mis mee, op die manier doe ik het ook). Afgezien van dat betekent het hele verhaal alleen maar dat 1 of ander lul van een virus de php.exe infecteert of een slimme actie in een webserver-omgeving heeft dat op het moment dat een php-file wordt opgevraagd een infectie-routine aanroept... Kan best waar zijn, maar ik zet mijn vraagtekens er bij. IMHO betekent dat de eigenlijke engine is geinfecteerd door iets lulligs, maar dat heeft heeft niets te maken met PHP.....
PHP is a server-side, cross-platform, HTML embedded scripting language. http://www.php.net
cross-platform en onder andere windows, dus ik zou niet weten waarom er geen windows servers zijn die php draaien.
Misschien is het nu wel onschuldig en makkelijk op te lossen, toch maak ik me een beetje zorgen om dat virus.
Persoonlijk gebruik ik PHP ook voor (o.a.) het maken van database koppelingen voor mijn website. Nou is het op het moment zo dat die database niet ECHT hele belangrijke informatie bevat, maar stel dat zo'n virus de aanvraag van de informatie uit de database zou gaan aanpassen, zodat bijv. iedereen die zijn of haar profiel ergens opvraagt, tegelijk de passwords tezien krijgt van alle andere users daar.
FF blijven opletten dus of dit virus inderdaad niet het begin is van een golf van PHP-virussen.

<Leest net dat het oud nieuws is>
Ok, dan nog moeten we blijven opletten :)
</Leest net dat het oud nieuws is>
Als je je passwords in de database encrypted opslaat kunnen de passwords niet uitgelezen worden.
Ik deel wel je bezorgdheid, want het password wat je in je php scripts opgenomen hebt zou wel eens openbaar kunnen worden. En dan is je volledige database open. :(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True