标签网站恶意软件

Question

在受影响的网站上进行取证时，我发现的一个常见现象是这样的模式：

<span>Clean code here</span>

<!--0c0a22-->
... malware code here ...
<!--/0c0a22-->

<div>clean code resumes</div>

特别是，HTML代码用<!--marker--> ... <!--/marker-->分隔，PHP代码用#marker# ... #/marker#分隔，JavaScript用/*marker*/ ... /*/marker*/分隔。如果标记为大约6个字符的字母数字(可能是十六进制)值，这个值会随感染而变化，但在所有被感染的文件中都是一致的。

所以我的问题是：

是否有一个通用的工具产生这种模式，或者它可能是一个单独的个人或群体？或者说，为什么这种模式如此一致和普遍？

Answer 1

这似乎是恶意软件检查它是否已经感染了文件的一种方式。不需要任何工具，它可以像十六进制编码的字符串那样简单，这对恶意软件作者来说意味着什么，也可以是一个随机生成的某种模式的字符串，以帮助恶意软件在受感染的页面中识别自己的代码。

我在几个受感染的网站上看到过类似的技术。