16 abr 2010

Cuidado con Vacunar ... ¡te puedes infectar!

Los sitios Web "infectados" (vulnerados y abusados) nos son ninguna novedad y abundan. Basta leer el anuncio del equipo de Windows donde informan que con Internet Explorer 8 (filtrado SmartScreen) bloquean 3 millones de páginas maliciosas por día. También un informe de Dasient del último trimestre de 2009 señala que en ese periodo se infectaron 5,5 millones de páginas Web.

Bien hoy vamos a mostrar sólo una página web que nos ha reportado en Segu-info como infectada con un malware conocido: Gumblar, sobre el cual hemos tratado aquí, aquí y aquí.

Lo paradójico en este caso es que se trata del sitio web de una institución que se dedica a la vacunación (de personas), pero al visitarlo uno podría infectar (su PC).

Al visitar el sitio reportado con FireFox (o Chrome) obtenemos esta pantalla de protección:

Aunque, con otros navegadores el sitio carga sin advertencias:

En el código de la página inicial se puede observar el sitio insertado por los atacantes para infectar al visitante:

Monitoreando el acceso web se observa el resultado del código, se puede apreciar la solicitud a ese sitio malicioso y vemos la respuesta del DNS (OpenDNS) que informa y bloquea, en este caso, el sitio con la carga maliciosa, alojado en Taiwan:

Mientras tanto en una red, el administrador recibe un alerta del bloqueo de la navegación de un usuario de su red a ese sitio malicioso, detectado como el Troyano Gumblar.

El reporte de Google Safe Browsing explica el contenido malicioso del sitio abusado:

Volviendo al código de la pagina de inicio donde se ve el script inyectado:
Vemos que ese código deriva en la carga, desde el sitio en Taiwan, de un script que es descargado a la PC del usuario visitante:
Este script en pocos casos es detectado por el antivirus. Incluso el análisis automatizado de Wepawet de ese script dice que es benigno pero se trata de un exploit de PDF y lo más interesante un applet de JAVA con unl exploit que descarga un archivo ejecutable.

En este caso hemos visto rápidamente que algunas protecciones como las de algunos navegadores suelen ser efectivas (FireFox y Chrome) aunque no siempre (IE8). También el uso de un servicio DNS como OpenDNS puede proveer de una protección adicional en estos casos cuando hay sitios maliciosos  que persisten en el tiempo. Los antivirus mostraron resultados disimiles y el vector de ataque intentado, una vulnerabilidad de una aplicación recientemente descubierta, puede ser frustrado por una actualización de parches.

Una conclusión rápida nos indica que a la hora de elegir protecciones, ninguna está demás, todas suman para reducir las chances de éxito de un ataque.

El sitio web abusado fue reportado por Segu-Info a sus responsables.

Raúl y Cristian de la Redacción de Segu-Info
a las

2 comentarios:

  1. Anónimo16 de abril de 2010 a las 2:30 p.m.

    Quizas me lo parezca a mi, pero cuando comentais "Aunque, con otros navegadores el sitio carga sin advertencias", diria que la imagen siguiente vuelve a ser de un Mozilla Firefox Sandboxeado (como en la primera imagen).

    Muy buen reportage. Gracias

    ResponderBorrar
  2. - Raúl -17 de abril de 2010 a las 6:37 p.m.

    Hola Anónimo,

    Gracias por señalar el error, ya fue colocada la imagen correcta.

    Saludos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!