Archivo

domingo, 12 de diciembre de 2010

Malware en las noticias



     Recientemente navegaba por uno de los diarios mas populares de Jujuy y me doy con la no grata sorpresa q es víctima de un campaña de malware, no se cuando habrán sucedido las injecciones pero lo cierto es que www.pregon.com.ar se encuentra infectada, e infecta a los lectores desprevenidos ejecutando un script en sus navegadores (y no una sola ves, sino varias veces, calculo q para evitar la entropia, y asegurar el objetivo :o)



     Por mi parte ya puse en conocimiento a las autoridades de sitio y hasta nuevo aviso, recomiendo evitar ir a la sección "contactos" q es donde se encuentra el código en cuestión.

     Aquí les dejo los scripts q se ejecutan y también uno printscreen de los resultados de VirusTotal

http://netapi.webserivcezub.ru/js.js
http://sslweb.webservicezok.ru/js.js
http://odbc.webservicenow.ru/js.js
http://tid.webserviceaan.ru/js.js
http://sync.webservicenow.ru/js.js


además de ejecutar los scripts mencionados anteriormente también intenta cargar las siguientes urls, que analizados por VirusTotal se obtiene el mismo resultado q la imagen de arriba.

http://parkperson.ru:8080/index.php?pid=13
http://nemohuildiin.ru/tds/go.php?sid=1

a primera vista parecen ser direcciones de Rusia, pero al rastrear la ip a la q pertenecen (que es 59.53.91.195) podemos decir q el servidor en realidad se encuentra en China.

Publicar un comentario