Der Sicherheitsfirma Fox-IT, die den Angriff entdeckt hat, ist es gelungen, viele der Command & Control Server des Botnetzes auszuschalten. Die meisten dieser Server befanden sich in Deutschland und den Niederlanden (insgesamt 80%), mit vereinzelten Servern in den USA und einem einzelnen in Polen. Innerhalb einer Woche nachdem Fox-IT die Details veröffentlicht hatte, haben die Hintermänner reagiert und ihren Schadcode angepasst. Auf Grund ihrer Beobachtungen der IPs der Kontrollserver gehen die Forscher davon aus, dass mehr als 23.000 Webseiten befallen sind.

Einmal von CryptoPHP infiziert, reiht sich der Webserver in ein Botnetz ein. Dessen Hintermänner nutzen die infizierten Server, um Such-Ergebnisse für unseriöse Webseiten auf Kosten der infizierten Seiten zu verbessern, berichtet die Sicherheitsfirma Fox-IT. Zwar könnte der Schadcode theoretisch in jedem PHP-basierten CMS funktionieren, allerdings konzentrieren sich die Gauner wohl auf die genannte Software auf Grund ihrer Popularität.

Besonders perfide bei befallenen WordPress-Installationen ist die Tatsache, dass der Schadcode einen eigenen Administrator-Account anlegt, damit die Gauner weiterhin auf den Server zugreifen können, auch wenn der eigentliche Schadcode entfernt wurde.

crypto-php-3b0827b68d384565