¿Por qué el malware intentaría eliminar otro malware?

Navega tus respuestas
33

Recientemente, mi sitio web basado en php se infectó con malware (probablemente por una contraseña robada de ftp).
Básicamente, cada 30 minutos se cargó un archivo frame_cleaner_php.php, se realizó un HTTP-GET para ejecutarlo y se eliminó. Pude interceptar una copia del archivo y analizarlo.

No fue confuso de ninguna manera y fue bastante fácil de leer.
En esencia, examinó de forma recursiva todos los archivos php, buscó 20 firmas de infecciones por el malware común otro (como <?php eval(base64_decode(" o <?PHP # Web Shell by oRb ) y eliminó crudamente las líneas con esa infección.

Debido a un falso positivo, algunas líneas en mis propios archivos php fueron eliminadas, lo que causó que el sitio no funcionara. Probablemente esto fue solo un efecto secundario no deseado del malware.

La gran pregunta: ¿por qué el malware haría esto, qué se puede ganar?

    
pregunta Jeff 11.03.2012 - 10:50
fuente

5 respuestas

36

Hay dos explicaciones según lo veo.

Lucha sobre el cuadro

Los diferentes tipos de malware desean ser propietarios de la caja y no compartirla con otros. Por lo tanto, intentará parchear el sistema y eliminar otro malware y dejar una puerta trasera al creador.

Gusanos éticos

El malware que se propaga solo para parchear y eliminar otro malware suele denominarse "gusanos blancos" o "gusanos éticos". Este tipo de gusanos tiene muchos problemas de responsabilidad, por lo que a menudo no se los ve mucho.

    
respondido por el Chris Dale 11.03.2012 - 10:57
fuente
28

Extendiendo la respuesta de Karrax:

Debido a que cuantas más infecciones tenga una caja, mayor será la cantidad de chanches (al menos una de ellas), y si la caja se limpia / limpia, se acabó el juego para el malware.

Por lo tanto, al limpiar otras infecciones y / o parchear el sistema, el malware está tratando de preservar su propia existencia.

    
respondido por el Albireo 11.03.2012 - 14:49
fuente
12

Algunos autores de malware forman parte de grupos a los que no les gustan otros autores de malware. Es como un equipo de fútbol al que no le gusta otro equipo de fútbol; los dos quieren ver un avance del fútbol, pero no quieren que el otro equipo esté allí cuando suceda.

    
respondido por el Billy ONeal 11.03.2012 - 15:11
fuente
11

Algunas buenas respuestas aquí, espero poder agregarlas.

Para comprender por qué, debe darse cuenta de que su servidor web infectado tiene un valor monetario para la persona que lo infectó. Puede ser alquilado para toda clase de actividad, desde enrutar tráfico, hospedar otros sitios, distribuir spam, DDoS, etc.

Si el servidor tiene varias infecciones, significa que está siendo compartido, una persona lo puede usar para alojar malware, pero otra puede usarlo para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Si uno de estos tipos obtiene la IP en la lista negra, entonces es inútil para el otro.

Además de esto, se eliminan las vulnerabilidades y otros programas maliciosos de la caja, por lo que eliminas otras o te eliminan y pierdes el control de la caja.

    
respondido por el airloom 11.03.2012 - 23:59
fuente
8

A los grupos de piratas informáticos no les gusta compartir la riqueza entre ellos. Si está interfiriendo con su flujo de ingresos, lo quiere fuera de la ejecución, por lo que lo desactiva. Además, desde el punto de vista de la seguridad, si está ejecutando una red de bots, ¿desea que otra red de bots tenga acceso a la información recopilada sobre sus tácticas?

Seguridad operacional, no es solo para gente honesta ...

    
respondido por el Fiasco Labs 13.05.2012 - 21:10
fuente

Lea otras preguntas en las etiquetas

¿La URL de HTTPS está en texto sin formato en la primera conexión? [duplicar] ¿Se considera un número de teléfono independiente como información de identificación personal?