Perché il malware tenta di rimuovere altro malware?

33

Recentemente il mio sito web basato su php è stato infettato da malware (probabilmente da una password ftp rubata).
Fondamentalmente, ogni 30 minuti è stato caricato un file frame_cleaner_php.php, su di esso è stato fatto un HTTP-GET per eseguirlo ed è stato rimosso. Sono stato in grado di intercettare una copia del file e analizzarlo.

Non è stato offuscato in alcun modo ed è stato abbastanza facile da leggere.
Essenzialmente ha scansionato in modo ricorsivo tutti i file php, ha cercato 20 firme di infezioni dal comune altro malware (come <?php eval(base64_decode(" o <?PHP # Web Shell by oRb ) e ha rimosso rozzamente le linee con quell'infezione.

A causa di un falso positivo, alcune linee nei miei file php sono state rimosse, causando la caduta del sito. Questo era probabilmente solo un effetto collaterale non intenzionale del malware.

La grande domanda: perché il malware farebbe questo, cosa c'è da guadagnare?

    
posta Jeff 11.03.2012 - 10:50
fonte

5 risposte

36

Ci sono due spiegazioni come la vedo io.

Lotta sopra la scatola

I diversi tipi di malware vogliono possedere la scatola da soli e non condividerla con altri. Cercherà quindi di patchare il sistema e rimuovere altri malware e lasciare una backdoor per il creatore.

Vermi etici

I malware che si diffondono solo per applicare patch e rimuovere altri malware vengono spesso definiti "worm bianchi" o "worm etici". Questi tipi di worm hanno molti problemi di responsabilità, quindi spesso non vengono visti molto.

    
risposta data 11.03.2012 - 10:57
fonte
28

Estensione della risposta di Karrax:

Poiché più infezioni ha una scatola, maggiori sono le chanches (almeno una) che l'infezione viene catturata e, se la casella viene cancellata / ripulita, è game over per il malware.

Quindi, ripulendo altre infezioni e / o correggendo il sistema, il malware sta cercando di preservare la propria esistenza.

    
risposta data 11.03.2012 - 14:49
fonte
12

Alcuni autori di malware fanno parte di gruppi che non apprezzano altri autori di malware. È un po 'come una squadra di calcio a cui non piace un'altra squadra di calcio; entrambi vogliono vedere la promozione del calcio, ma non vogliono che l'altra squadra sia lì quando succede.

    
risposta data 11.03.2012 - 15:11
fonte
11

Alcune buone risposte qui, spero di poterle aggiungere.

Per capire perché, devi capire che il tuo server Web infetto ha un valore monetario per la persona che lo ha infettato. Può essere affittato per tutti i tipi di attività dal traffico di routing, hosting di altri siti, distribuzione di spam, DDoS, ecc.

Se il server ha più infezioni significa che è condiviso, potrebbe essere utilizzato da una sola persona per ospitare malware ma un altro potrebbe utilizzarlo per attuare attacchi DDoS (distributed denial of service attack). Se uno di questi ragazzi ottiene l'IP nella lista nera, allora è inutile per l'altro.

Inoltre, la rimozione di vulnerabilità e altro malware dalla scatola avviene in modo tale che tu rimuova gli altri o ti rimuovano e perdi il controllo della scatola.

    
risposta data 11.03.2012 - 23:59
fonte
8

I gruppi di hacker criminali non amano condividere la ricchezza l'uno con l'altro. Se interferisce con il tuo flusso di entrate, lo vuoi fuori dal gioco, quindi lo disabiliti. Inoltre, per quanto riguarda la sicurezza, se stai eseguendo una botnet, vuoi che un'altra botnet abbia accesso a informazioni spigolose sulle tue tattiche?

Sicurezza operativa, non solo per le persone oneste ...

    
risposta data 13.05.2012 - 21:10
fonte

Leggi altre domande sui tag