| |
VSantivirus No 2614 Año 11, martes 15 de enero de 2008
Extraña infección masiva causa gran cantidad de tráfico
http://www.vsantivirus.com/15-01-08.htm
Por Angela Ruiz
angela@videosoft.net.uy
Un nuevo tipo de infección que posee características poco comunes, ha generado en los últimos días, la mayor cantidad del tráfico de código malicioso monitoreado en la red.
ScanSafe es una compañía que supervisa y protege la navegación por Internet de los trabajadores de grandes empresas, proporcionando en tiempo real información sobre los sitios que están propagando malware.
Cuando un cliente visita un sitio que ya ha atacado a algún usuario, el servicio bloquea automáticamente el acceso a esas páginas.
La compañía maneja unos siete millones de peticiones web al mes. En los últimos cuatro días, el 15 por ciento del tráfico malicioso que es bloqueado, ha llegado desde unos pocos cientos de sitios, los cuáles parecen ser legítimos y dedicados al comercio electrónico.
Esto ha llevado a Mary Landesman, una investigadora de ScanSafe, a examinar más profundamente el problema, y lo que ha averiguado no se parece a nada que se haya visto antes.
Por un lado, los sitios comprometidos hospedan un malware, el cuál infecta los equipos de sus visitantes. Esto no es común, ya que la mayoría de las veces los atacantes no llegan a tomar el control de sitios conocidos, y prefieren utilizar otros métodos para redirigir a los usuarios a otros servidores controlados por ellos, desde donde se descarga el código malicioso.
Lo extraño en este caso, es que los sitios no tienen un vínculo claro entre ellos. Aunque la mayoría están ubicados en el Reino Unido, también hay servidores en Brasil y la India, entre otros.
No usan los mismos servicios de hosting, y aunque la mayoría utiliza el conocido servidor Apache en Linux, las versiones varían demasiado entre si, lo que hace muy poco probable que los atacantes estén explotando una vulnerabilidad de dicho software.
Esto coincide además con otro estallido de infecciones en masa que ha estado infectando a decenas de miles de páginas, incluyendo universidades norteamericanas (la Universidad de Boston), empresas de seguridad (Computer Associates), y agencias gubernamentales del estado de Virginia y la ciudad de Cleveland, informa Landesman.
Son infectados sitios Web que corren Microsoft Internet Information Server (IIS) y utilizan Microsoft SQL, con enlaces que redireccionan a los usuarios a servidores ubicados en China.
Estos sitios maliciosos, intentan instalar en los equipos de los usuarios, un keylogger (capturador de la salida del teclado), y otros códigos similares. Pero según ScanSafe, esta infección masiva ha sido responsable de menos del uno por ciento del tráfico malicioso bloqueado en los últimos días, una fracción muy pequeña en comparación con el tráfico de los misteriosos sitios mencionados antes.
Dichos sitios poseen otras interesantes características. Intentan infectar a los visitantes con un archivo en JavaScript de nombre aleatorio, que cambia cada vez que una persona visita sus páginas.
Estos nombres siempre diferentes, hacen que sea muy difícil proporcionar una lista completa de sitios afectados, porque es complejo rastrearlos por ejemplo, con una búsqueda en Google.
El script busca vulnerabilidades específicas de los sistemas operativos usados por los visitantes, y cuando encuentra alguna, intenta enviar un archivo .MOV desde un dominio determinado, e instala un caballo de Troya del tipo backdoors que abre una puerta trasera en los equipos.
Las víctimas suelen ignorar que han sido infectadas, ya que la instalación es sencilla, y el malware utiliza muy pocos recursos del PC.
Según Mary Landesman, se trata de algo nuevo, de lo que poco se sabe hasta el momento.
La siguiente, es una lista de algunos de los sitios reportados hasta ahora:
http:/ /dubai .travel-culture .com/
http:/ /operationultimategoal .com/
http:/ /www .abdet .com/maps/maps-france .html
http:/ /www .ace-cranes .com/
http:/ /www .aprazivel .com .br/
http:/ /www .bellingerfurniture .co .uk/
http:/ /www .bmw-carparts .co .uk/
http:/ /www .careinternational .com/
http:/ /www .directline-citybreaks .co .uk/
http:/ /www .directline-holidays .co .uk/
http:/ /www .directline-skiing .co .uk/
http:/ /www .emtbravo .com/
http:/ /www .flintoak .com/
http:/ /www .gujarat .com/recipes/
http:/ /www .henrykaye .co .uk/Cheap-bridesmaid-dresses-and-flowergirl-dresses
http:/ /www .hungatecottages .co .uk/the_cottages .html
http:/ /www .inthe80s .com/moviequotes/f .shtml
http:/ /www .islandescapeholidays .co .uk/Dubai
http:/ /www .london-discount-hotel .com/hotelinfo_id__106
http:/ /www .london-discount-theatre .com/productions
http:/ /www .moorgateacoustics .co .uk/
http:/ /www .njaiche .org/main .html
http:/ /www .noorcapitaluae .com/
http:/ /www .paddingtoncourt .com/
http:/ /www .panacheshoes .co .uk/
http:/ /www .peshawarjobs .com/
http:/ /www .propertyauctions .co .uk/
http:/ /www .propertyworld .com/_Bermuda
http:/ /www .quaife .co .uk/Gallery
http:/ /www .reallybored .net/
http:/ /www .sharpindialimited .com/dealer-locator .php
http:/ /www .thirlmeremeats .com .au/family .htm
http:/ /www .thirlmeremeats .com .au/special .htm
http:/ /www .travel-culture .com/airblue/
http:/ /www .vauxallparts .co .uk/
http:/ /www .yournewhome .co .uk/Swan-Hill-Homes-Ltd
Las únicas precauciones posibles, es asegurarse de tener todas las actualizaciones al día del software utilizado (incluyendo el sistema operativo), además de un antivirus actualizado.
Relacionados:
Mass Web Infections
http://isc.sans.org/diary.html/storyid/diary.html?storyid=3834
ESET informa sobre la aparición de miles de sitios con scripts dañinos para propagar malware
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1199823658&n=2
¿Actualizar o no actualizar?
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=943
Masivo ataques a sitios web
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=941
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
