Eerste PHP virus gesignaleerd

Een nieuw fenomeen heeft zijn intrede gedaan: Het PHP virus. Waar voorheen de zwakheden in de programmatuur van Microsoft altijd ten prooi vielen aan de bezigheden van gefrustreerde programmeurs, is nu ook een veelgebruikte scripttaal uit de Open Source community aan de beurt. Dit - voor zover bekend (dus niet) - eerste virus in PHP is vrij onschuldig, maar dat neemt niet weg dat de potentie daar is.

Het virus, genaamd PHP.NewWorld probeert files te infecteren met de extenties .php, .hm, .html of .htt. Het zoekt deze files in de C:\Windows directory, en dus lopen vooralsnog enkel Windows-gebruikers het risico geïnfecteerd te worden. (Ik ken geen Linux-gebruikers met een C:\Windows directory )

Wanneer de gebruiker een .php file uitvoert, wordt hiermee een extern deel van het virus geactiveerd. Indien de string 'NewWorld.PHP' al bestaat, doet het virus niets. Een file kan dus niet twee keer besmet worden. Daarnaast is er in dit virus geen mechanisme ingebouwd ter verspreiding van het virus. Central Command had er onder meer het volgende over te zeggen:

PHP logoPHP (www.php.net), is one of the most popular scripting languages used in the development of e-commerce and heavy content websites. It gained its popularity thanks to its user-friendly programming features and the incorporation of cross platform compatibility between Windows, Linux, and UNIX environment features included within the language.

“This virus is not dangerous in any kind, but it can be modified to have a very destructive payload and marks a new step towards a new virus generation,” said Steven Sundermeier, Product Manager at Central Command, Inc.

The PHP programming language has become a standard in dynamic website development. A majority of websites that incorporate user interaction and personalization rely on PHP, making it an appealing target for virus writers.

Ondanks dat dit virus dus vrij onschadelijk is, rijst toch de vraag wat ons in de toekomst te wachten staat. Het is niet onvoorstelbaar dat er in de toekomst variaties komen op dit virus, welke vele malen schadelijker zijn dan het hier genoemde.

Update

Zoals door goed geïnformeerde lezers al werd aangeduid, is dit niet het eerste PHP-virus. Die eer gaat naar het PHP.Pirus virus

Bedankt bonobo voor deze link

Door Tweakers.net Nieuwsposter

Feedback • 06-01-2001 02:16 47

06-01-2001 • 02:16

47

Bron: Central Command

Lees meer

Virus-wereldkaart van McAfee
Virus-wereldkaart van McAfee Nieuws van 10 februari 2001
Kaspersky Lab verwacht Linux virussen uit China
Kaspersky Lab verwacht Linux virussen uit China Nieuws van 27 januari 2000
Software

Reacties (47)

-Moderatie-faq
47
47
28
11
3
12
Wijzig sortering
Peerke 6 januari 2001 02:19
Eerst virus in PHP? en PHP-Pirus dan? Die was al 1,5 maand geleden al, en werkte (ook) onder *n*x-systemen.

[update]
Meer info:
http://www.symantec.com/avcenter/venc/data/php. pirus.html
[/update]
The Source @Peerke6 januari 2001 02:32
Het is idd al oud nieuws. Dit bericht is van 9 nov.

PHP Virus Spotted
Symantec have found what appears to be the first virus written in PHP. The
virus searches for other PHP and HTML files on disk and inserts code to call
itself. Of course this virus cannot be contracted by simply visiting an
infected Web page, it requires an infected page to be installed on your
server.

http://www.sarc.com/avcenter/venc/data/php.piru s.html

* 786562 The
Anoniem: 13604 6 januari 2001 09:46
Jongens (en meisjes) wakker worden.

Wanneer wordt dit virus geactiveerd? Nou niet als je op een website met PHP kijkt, en ook niet als je zomaar van iemand een bestandje krijgt met het virus erin.

Om geactiveerd te worden, moet je PHP geinstalleerd hebben op je (Windos-)webserver en dan het virus (dat je per mail is toegezonden ofzo) met de hand starten.

Ik vraag me af of in Windos geen onderscheid gemaakt tussen de extensies van "gewone" bestanden en de bestanden die IIS voor je start, d.i. als je een ".PHP" bestand in IIS door de PHP-parser laat parsen, gebeurt dat dan ook in Windows? Anders zou er nog een extra stap moeten volgen: je moet het virus dan op de juiste plek zetten (in de webroot) en vervolgens in de browser het virus opvragen.

Je kunt in nagenoeg elke programmeertaal een zichzelf reproducerend stukje code schrijven. Maar om nu al die programma's meteen virussen te noemen... daarvoor is meer nodig: een populatie gebruikers, een besmettingskans en een verspreidingsmogelijkheid.

In dit geval is niet alleen de verspreidingsmogelijkheid nul, ook de besmettingskans is nagenoeg nul - ik bedoel, je hebt zo ongeveer een handleiding nodig om het virus op te lopen.

Weet je wat gevaarlijk is? DOS .BAT-bestanden!
http://www.hacktic.nl/magazine/2022.htm
http://www.hacktic.nl/magazine/2422.htm
Anoniem: 10898 @Anoniem: 136046 januari 2001 10:01
Die laatste URL is het leukst! natuurlijk gebeuren zulke dingen alleen op de Noordelijke Hogeschool Leeuwarden ;-)

Als wij een gat in de beveiliging vinden (HTS-Informatica-ers) en we zouden direct naar het centrale systeembeheer gaan worden we zo geschorst... Dus gaan we naar een docent of eigen systeembeheerder en die waarschuwt die lui aan de overkant :'(

En helaas voor het PHP virus installeer ik Windows 98SE altijd in C:\Win98SE
Slush @Anoniem: 136046 januari 2001 11:23
Ik vraag me af of in Windos geen onderscheid gemaakt tussen de extensies van "gewone" bestanden en de bestanden die IIS voor je start, d.i. als je een ".PHP" bestand in IIS door de PHP-parser laat parsen, gebeurt dat dan ook in Windows? Anders zou er nog een extra stap moeten volgen: je moet het virus dan op de juiste plek zetten (in de webroot) en vervolgens in de browser het virus opvragen.
Heel juist gezegd. Elke webserver moet weten dat als er een .php of een .php3 door de php-engine gehaald moet worden.

maar.....
When a user executes a .php file, the virus body will be executed from an external file and will take full control.
Hmm, hier las ik vannacht even overheen... Jammer dat ze er niet bij zeggen hoe dit ding dan geactiveerd wordt. Er moet toch eerst ergens anders iets gebeuren voordat dit optreedt....
CharString @Anoniem: 136048 januari 2001 09:50
Voor de mensen die geen webserver hebben.

Alternatieve handleiding PHP-viri:

-Download de source van de PHP-Hypertext Preprocessor.
-Lees de readme en volg de intructies voor het compilen van de CGI versie.
-Download het virus (Of wacht tot je een ons weegt en geinfecteerd bent)
-Log in als root of wordt dit met su
-Start het virus met
php <virusnaam>
evt aangevuld met de volledige paths

Voordelen van deze manier van starten:
-Er is geen noodzaak een webserver noch een browser te installeren. Wat de zaak ontzettend bemakkelijkt.
-Het virus heeft root rechten, waardoor je het tot de volle 100% benut en niet afhankelijk bent van wat user nobody wel en niet mag

* 786562 CharString
edit:
-0 overbodig, doch grappiger dan de posting van dakhaas :+
Coju 6 januari 2001 22:00
gewoon in de source van een PHP tje kijken

dan zie je wel of je geinfecteerd bent
Anoniem: 16040 6 januari 2001 02:23
Grrrrr, konden ze niet zwijgen daarover :(
Effe uitleggen waarom, er waren totaal geen php virusen, nu is er 1, hup, veel publiciteit, en ja, nu gaan veel mensen php inzien als mogelijk virus aanpaak materiaal, en nu gaat ge de php virus count zien stijgen... :( :( :(
Jammer, Php was zo mooi en proper (virus wize tenminste)...
witchdoc @Anoniem: 160406 januari 2001 03:41
Zwijgen over dergelijke dingen is GEEN goed idee IMHO.
Diegene die stoute dingen :) willen doen zullen dit toch te weten komen hoor.. sneller dan de gewone users.
Deze malicious users hebben goeie interne communicatie.
Met het publiceren van dit is tenminste bekend dat er een probleem is. Ook maatregelen ertegen zullen onder maatschappelijke druk sneller tot stand komen (indien mogelijk).
Anoniem: 8426 @Anoniem: 160406 januari 2001 03:01
Ik snap het idee van het virus niet helemaal. Het is zelf een php-script en het infecteerd andere php-scripts op dezelfde webserver.
Hoe komt het script nu op een webserver terecht?
witchdoc @Anoniem: 84266 januari 2001 03:39
Volgens mij is het de website die de bezoeker gaat infecteren. De webmaster is dus een 'slecht' persoon.
jkf @witchdoc6 januari 2001 10:15
Nope, de php scripts worden aan de server kant uitgevoerd en geven html (xml) naar de bezoeker toe. Als je met een php script op een server de bezoeker kunt infecteren heb je een behoorlijk gat in je browser want dan kan iedere pagina (die je hetzelfde stuurt) je infecteren.

Het is een php script dat nadat het is geinstalleerd andere php scripts op dezelfde server infecteerd.
LinuxMan @Anoniem: 84266 januari 2001 12:55
Hoe komt het script nu op een webserver terecht?
mja omdat de webmaster het er opzet.. En verder kan het script alleen maar andere scripts infecteren als het daar de schrijfrechten voor heeft. En ik ken geen enkele webserver waar de php files schrijfbaar zijn voor user www-date (waar de webserver onder draait)

Ofwel: niks te vrezen
Makkelijk @LinuxMan6 januari 2001 19:25
Om precies te zijn.. iemand maakt een scriptje en zet voor de lol dat virus erop.. pleurt het op hotscripts.com ofzow en iemand anders vind dat scriptje leuk, gebruikt het, zet het op de webserver en tjakka.. zo komt het er.. dus virus zou zich niet echt snel verspreiden :)

en dat is maar GOED ook!
Anoniem: 8426 @LinuxMan6 januari 2001 19:39
Het 'virus' komt niet echt gevaarlijk over op mij, als ik de reacties hier lees. Is maar goed ook, anders had ik een probleempje ;)
Anoniem: 1734 6 januari 2001 02:21
c:\windows ? en c:\winnt dan of mensen die bv c:\w98 hebben ??? hebben die er geen last van?
_JGC_ @Anoniem: 17346 januari 2001 10:58
%WINDIR% intikken en wat krijg je dan? Yep, c:\windows', c:\w98, of c:\winnt.
Sander Schrier @Anoniem: 17346 januari 2001 02:29
Ik denk dat diegenen er inderdaad geen last van zullen hebben. Dat hangt ook af van de complexiteit van het virus. Als het virus de installatiemap van Windows uit het register haalt is het natuurlijk wel een heel ander verhaal aan het worden :8>
Anoniem: 1788 6 januari 2001 02:44
Echt een virus is het ook niet als je mij vraagt. Je moet zelf met de hand het php bestandje runnen.
Zo ken ik er nog wel een:
[virus.bat]
__del c:\command.com
__del c:\boot.ini
__echo "del c:\command.com" >> c:\autoexec.bat
[/virus.bat]
of een exefile:
[VBvirus.exe]
__kill "c:\command.com"
__kill "c:\boot.ini"
__end
[VBvirus.exe]
edit:
c:/ :+
witchdoc @Anoniem: 17886 januari 2001 03:47
Een virus volgens de letter van de definitie is het inderdaad niet.. dat moet oa zichzelf ook nog kopieren.
Maar met de benaming virus is wel meteen de intentie van het stukje programmacode duidelijk he.
Anoniem: 15923 @Anoniem: 17886 januari 2001 03:02
IEDER virus moet eerst gerund worden voordat et iets doet toch :?

lijkt me dus vrij kromme vergelijk
Anoniem: 1788 @Anoniem: 159236 januari 2001 05:05
Ja elk virus moet wel gerund worden, maar niet elk virus moet _handmatig_ gerund worden. Dit php virus moet je zelf uitvoeren, en dat is niet met alle virii zo.

Een virus dat gebruikt maakt van een exploit in Microsoft IE bijvoorbeeld kan gerund worden als je ergens langs surft, een virus dat gebruik maakt van een exploit in MSoutlook kan actief worden als je je mail alleen maar leest. Een doc-file van microsoft office kan ook een (macro) virus bevatten, dat runt als je gewoon het bestand leest/opend. Zo heb je ook virussen die zich in een exe-file nesten.

Ik vind dit niet echt een virus omdat een beetje computeraar niet zomaar een programma runt. In die zin vind ik het I-Love-you virus ook geen echte, het is gewoon een programmaatje. Wat het wel een virus maakt is dat het zichzelf vermenigvuldigt.
tweakerbee @Anoniem: 17886 januari 2001 12:23
WORM
Anoniem: 8426 @Anoniem: 159236 januari 2001 19:47
Het blijft een beetje gezemel over definities, maar een virus is een stuk software dat zichzelf kan kopieeren. (ik weet zo niet wie deze definitie heeft bedacht).
Dit kopieeren hoeft het niet automatisch te kunnen, volgens deze definitie is het cp commando ook een virus ;)
Makkelijk @Anoniem: 17886 januari 2001 19:29
Het is ook een heel primitief virus.. maar net als dat bat bestandje, dat brachten mensen in in een "spelletje"ofzow.. snappie, simpel, maar DODELIJK effectief.. de vraag is echter of PHP wel zulke gevaarlijke dingen kan met een eindgebruiker omdat de browsers een heel sterk punt zijn, terwijl C++ progjes en Visual Basic progjes ed. rechtstreeks op je PC komen zonder tussenkomst van de zwaar beveiligde browser
MM 6 januari 2001 02:24
Tja, je kunt er 2 dingen op doen:

1 de duurste virusscanners kopen en braaf 3 maal daags (bij voorkeur vlak voor of na de maaltijd, doorslikken met veel water }>) een update downloaden

2 dat niet doen en zorgen dat je niets belangrijks op je pc hebt staan tenzij gebackupt

* 786562 stefana3a
Makkelijk @MM6 januari 2001 19:26
3e catogorie.. de virusscanner Esafe (www.esafe.com) update zichzelf automatisch en beschermd tegen websites.. duzz je hoeft geen flikker meer te doen! yezz
Anoniem: 19067 6 januari 2001 12:17
Ok, wat gebeurt er als je een .php bestand opent onder windows:

Als je hebt gezorgt dat php als cgi-draait kan het betekenen dat dit script onder windows is geregistreerd als een php file (en dus de php parser telkens uitgevoerd wordt). Als dit zo is, dan hoef je enkel op een .php bestandje te klikken en hij wordt uitgevoerd.
(kans op infectie:
nihil: mensen die php hebben draaien op een machine gebruiken dit -hoogst waarschijnlijk- voor hen webserver... deze machine zal dan ook als webserver gebruikt worden: Alleen toegankelijk voor staff medewerkers etc, wordt hoogstens benaderd via ftp om nieuwe pagina's / scripts te uploaden. Wat dus betekend dat niemand op die machine zijn e-mail zal gaan lezen.)

Linux:
Tja, wat zal ik zeggen :)... download het bestand, plaats het in je homedir, chmod 775 op het php bestand, doe su - <enter> <password> <enter> cd naar je home dir en voer het scriptje uit. Nu moet je hopen dat je de cgi-versie van php hebt geinstalleerd en dat deze natuurlijk ergens op een standaard plek staat :)..
En dan kun je genieten van je pas gekregen virusje...
(dit gaat trouwens wel veranderen met de 2.4.0 kernel.. maargoed... dat zien we dan wel weer)...
Anoniem: 17496 6 januari 2001 02:24
Kan iemand ook vertellen *wat* het virus doet/kan doen ? Dat het niet werkt als 'NewWorld.PHP' al bestaat is leuk om te weten, maar wat als dat wel bestaat ?
White Feather 6 januari 2001 02:25
De Windows directory, wordt die door de meeste programma's herkend aan de naam of zit er ergens nog een verwijzing naar de startupdirectory? Want als veel virussen hem herkennen aan de naam, dan kun je hem makkelijk een andere naam geven (alhoewel, dan doen veel programma's het ook niet meer natuurlijk)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq