Un malware en forma - Megatlon





 Hace unas semanas un compañero de trabajo, a quien por cierto agradezco (¡Gracias Leandro!), me comentó que el sitio de Megatlon se encontraba infectado.

Obviamente esto atrajo mi curiosidad por lo que decidí revisar la página para ver que encontraba...

Efectivamente el sitio había sido inyectado con un script que llamaba a un java script malicioso alojado en en el servidor de Megatlon. Esto nos indica que el sitio o el servidor web que aloja a Megatlon fue vulnerado.

Dicho archivo llamaba a otro script, que en este caso se encontraba dentro de un archivo PHP y alojado en otro sitio web, también vulnerado.

Revisando en profundidad el sitio del popular gimnasio, noté que la la llamada al java script malicioso no se encontraba  solo en la pagina principal, sino que en todos y cada uno de los archivos PHP que poseía el sitio.

Esto no parecía lógico, ya que muchos de los archivos PHP infectados no eran accesibles por lo usuarios por lo que no ayudarían de forma directa a la tasa de infección que probablemente el usuario malicioso buscaba.






Esto significaba una sola cosa, que esto era obra de un Exploit Pack, un sistema especialmente diseñado para buscar y explotar vulnerabilidades dentro de servidores web de forma automática. Dichos sistemas lamentablemente son muy comunes ya que son muy fáciles de utilizar y se venden a precios accesibles para aquellos usuarios maliciosos que buscan lucrar con ellos.

Pueden leer mucho más sobre este tipo de sistemas y todo lo que se refiere al crimeware dentro del blog de Malware Intelligence.






El java script utilizado en el sitio de Megatlon es detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.HackLoad.AD por lo que si tienen una solución antivirus con detección proactíva instalada en su compu, no tienen de que preocuparse.

Quiero agradecer particularmente a Milio por la ilustración que creo especialmente para este post y los invito a todos a darse una vuelta por su blog donde podrán no solo apreciar su excelentes ilustraciones sino también sus dotes de poeta nato.

Mis saludos internautas...


Ximo

Posteado a las 9:00 el lunes, 25 de octubre de 2010 por Ximo y lo metio en , , , , , | 2 Comments »