Ele tenta entrar em páginas de administrador do Joomla e WordPress em /administrator/index.php e /wp-login.php. Para fazer isso, ele se conecta a um servidor C & C, onde ele baixa uma lista de sites para atingir, bem como senhas para uso. (Ele sempre usa administrador como o nome de usuário). Além disso, logins bem sucedidos também são enviados para o mesmo servidor C & C.
Durante o curso de um único dia, isto foi utilizado de forma secreta para tentar atacar mais de 17.000 domínios. Isto envolveria mais de 100.000 domínios no decurso de uma única semana. Esta investida foi a partir de uma única máquina infectada sozinha, com qualquer botnet de tamanho suficiente envolvendo mais locais que correriam riscos de ataques. Os sites segmentados foram encontrados principalmente nos Estados Unidos, com quase dois terços dos sites atacados, sendo a partir desse país. Já os países da Europa completaram o resto do top cinco. A maioria dos locais afetados são de propriedade de pessoas físicas ou pequenas empresas, uma vez que são os setores que podem usar WordPress e Joomla como o sistema de gerenciamento de conteúdo.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...-from-botnets/