Un sitio "poseído"
Al parecer algunos webmaster sólo aplican la primera parte del dicho: "Confía en Dios, pero ata tu camello".
Investigaba hoy si el origen de un malware, que detectó el antivirus en la PC de un usuario de la red, había sido el resultado de seguir un vínculo de un correo malicioso, o si fue por la navegación ocasional por algún sitio comprometido.
Resultó ser lo último, pero en esta oportunidad me llevé una sorpresa al ver que el sitio que llevó al usuario a descargar un exploit de PDF fue un sitio de inspiración religiosa.
Analizando el código de la página encontré lo que no podía ser otra que obra del mismísimo satanás, esa página web está “poseída” con un script ofuscado, signo inequívoco de quien se mueve desde las sombras y oculta sus intenciones.
De modo que envié un mensaje al Webmaster para ver si se ocupa de exorcizar su sitio y bendecirlo con la protección de las actualizaciones de seguridad para que no sea poseído nuevamente.
Captura 2. Arriba detalle de tráfico que se redirige a un sitio extraño. Abajo el script insertado por el atacante que provoca esto.
Por fortuna nuestro usuario pudo finalizar su día laboral con su oración diaria y sin problemas en la PC gracias al antivirus que lo protege, el cual identificó y detuvo esta vez a un TrojanClicker.Iframe.
Al navegar el sitio con Firefox, el complemento WOT nos detiene y advierte, (esta vez IE8 SmartFilter no avisó nada):
Raúl de la redacción de Segu-info
Captura 1. Superior, página vista por el usuario,
inferior, HttpWatch mediante se observa el tráfico redirigido
inferior, HttpWatch mediante se observa el tráfico redirigido
Investigaba hoy si el origen de un malware, que detectó el antivirus en la PC de un usuario de la red, había sido el resultado de seguir un vínculo de un correo malicioso, o si fue por la navegación ocasional por algún sitio comprometido.
Resultó ser lo último, pero en esta oportunidad me llevé una sorpresa al ver que el sitio que llevó al usuario a descargar un exploit de PDF fue un sitio de inspiración religiosa.
Analizando el código de la página encontré lo que no podía ser otra que obra del mismísimo satanás, esa página web está “poseída” con un script ofuscado, signo inequívoco de quien se mueve desde las sombras y oculta sus intenciones.
De modo que envié un mensaje al Webmaster para ver si se ocupa de exorcizar su sitio y bendecirlo con la protección de las actualizaciones de seguridad para que no sea poseído nuevamente.
Captura 2. Arriba detalle de tráfico que se redirige a un sitio extraño. Abajo el script insertado por el atacante que provoca esto.
Al navegar el sitio con Firefox, el complemento WOT nos detiene y advierte, (esta vez IE8 SmartFilter no avisó nada):
Raúl de la redacción de Segu-info
Hola solo queria preguntar que antivirus tenia instalado el pobre cristiano que le evito ser poseido ???
ResponderBorrarEste comentario ha sido eliminado por el autor.
ResponderBorrarHola TaLaP0 XoR BiT,
ResponderBorrarEl usuario tiene el AV de Symantec, la versión corporate.
Saludos.