Propagación de malware a través de importantes foros
Marzo 14, 2008 1:40 pmTiempo atrás informamos sobre una gran cantidad de sitios que habían sido modificados por para incluir scripts dañinos.
Hoy, nuevamente hemos llegado a sitios similares en donde los atacantes utilizan una metodología similar, pero en esta oportunidad, los sitios atacados corresponden a sitios educativos y foros entre los que se encuentran algunos muy importantes como el de Unicef, quien ya ha sido informado sobre este tema.
La metodología utilizada en este caso corresponde a agregar comentarios en cualquier tipo de foros o en cuadros de búsqueda de sitios, que principalmente corresponden a universidades con dominios .edu.
Los comentarios insertados corresponden a scripts dañinos que apuntan a URLs que alojan sitios pornográficos, venta de productos farmacéuticos, como viagra y cialis, y malware con diferentes objetivos.
A continuación se hace el seguimiento de un par de casos encontrados. En el primero de ellos se accede a un foro y se puede ver un mensaje del siguiente tipo:
Este script podría ejecutarse automáticamente al cargar la página, pero si no fuera así, el usuario aún puede realizar clic en cualquiera de lo enlaces visualizados ingresado a unos de los sitios mencionados.
En el caso de sitios de publicidad de productos farmacéuticos, el usuario verá algo como lo siguiente:
Al cargar algunas de estas página se puede descargar un troyano alojados en distintos sitios webs. En este caso el mismo es detectado por la Heurística Avanzada de ESET NOD32.
En este momento se pueden encontrar en Google alrededor de 60.000 sitios conteniendo los scripts mencionados. En una segunda entrega, veremos como esta metodología es utilizada en otros foros y en las páginas de descarga de distintas universidades.
Cristian
- Precaución al navegar por nuevos ataques a sitios web
- Propagación de malware a través de importantes foros (y II)
- Respuesta de UNICEF a ESET
Categorias: Alertas, Heurística, Malware
17 Comentarios »






29-10-2009 a las 1:41 pm
muchas gracias por la respuesta…
La triste realidad es que si era de la pagina oficial …..
comprobado en varias computadoras
23-10-2009 a las 1:40 pm
Hola Christian:
Gracias por la confianza depositada en nosotros. Te informo que el producto que mencionas, si lo descargas de su sitio oficial, es un producto real.
En cambio los otros dos (WINantivirus y IEantivirus) sí son falsos (rogue).
De todos modos si utilizas ESET NOD32 no es necesario que pruebes otros antivirus.
Cristian
23-10-2009 a las 12:45 pm
Hola , queria informar sobre un falso antivirus , no se si sera el lugar correcto , pero son uno de mis preferidos y queria comentarlo
Se trata del Microworld eScan antivirus , que infecta tu computadora
Todo el tiempo esta infectado tu computadora , incluso el instalador
Estaba utilizando la herramienta de escaneo , que no se instala
Solo se ejecuta , y apenas comienza el escaneo te inserta el gusano
Runouce.exe , me he cnzado de restaurar con Norton Ghost y vuelvo
A ejecutar esta herramienta y me la vuelve a infectar …..
Ha sido bajado de la pagina Oficial…
Y lo ha hecho en 3 computadoras que lo use…
Carpetas que simula siendo archivos…
En Windows :
Rundll132.exe
Rundll16.exe
Logo1_.exe
Logo_1.exe
Vdll.dll
En system32 :
Runouce.exe
————————–
Peligroso antivirus!!!!
Repito que no se si sera el lugar correcto pero son de mi confianza
Pero cuando empieza el escaneo crea el Runouce.exe
y cuando termina de actualizar crea las otras carpetas…
No hay excusa para que sea otra cosa…
En VSantivirus y Alerta-antivirus me dicen como eliminar estos
Gusanos , pero no existen rastros de estos gusanos , raro no?
Bueno , hay que saber a quienes les pasa lo mismo
y lo coloquen como falso antivirus igual que WINantivirus y IEantiivrus
salu2
12-5-2008 a las 3:27 pm
[...] Un ataque masivo de códigos maliciosos ataco durante esta última semana a miles de sitios Web, según fuentes del sector y ESET informó al respecto en su Blog. [...]
9-4-2008 a las 3:49 pm
[...] en el blog de Eset, para ver articulo de esta casa desarrolladora ver artículos anteriores: Propagación de malwares a través de importantes foros Propagación de malwares a través de importantes foros [...]
20-3-2008 a las 2:51 am
[...] Original -> http://blogs.eset-la.com/laboratorio/2008/03/14/malware-importantes-foros/ Posted in Informatica, Seguridad Informatica, Seguridad [...]
20-3-2008 a las 1:08 am
Malware que se propaga a través de importantes foros, es detectado por eset…
Noticia que da a conocer sobre nuevas tecnicas usadas para descargar malware, atraves de sitios/foros educativos como Unicef, quienes ya han sido informados del tema….
17-3-2008 a las 3:33 pm
Yo me encuentro con un problema que no consigo solucionar. Tengo el antivirus y el firewall de windows activado pero durante el dia de hoy la barra de tareas del escritorio no me funciona correctamente, cuando abro el menú inicio se queda en blanco…. Alguien me podría decir como solucionarlo. Gracias
17-3-2008 a las 1:08 pm
[...] Un ataque masivo de códigos maliciosos ataco durante esta última semana a miles de sitios Web, según fuentes del sector y ESET informó al respecto en su Blog. [...]
17-3-2008 a las 8:51 am
[...] Un ataque masivo de códigos maliciosos ataco durante esta última semana a miles de sitios Web, según fuentes del sector y ESET informó al respecto en su Blog. [...]
16-3-2008 a las 11:48 am
FERNANDO,
quise verificar lo que informas sobre ese sitio web pero lamentablemente no estaba online.
Cristian
15-3-2008 a las 7:53 pm
[...] foros, donde tambi
15-3-2008 a las 7:46 pm
[...] foros, donde tambi
15-3-2008 a las 7:02 pm
[...] (y II) Publicado el Marzo 15, 2008 por Lestat Continuando nuestra entrega anterior sobre propagación de malware a través de importantes foros, ahora mostraremos como sitios educativos son utilizados para llevar al usuario a sitios [...]
15-3-2008 a las 6:58 pm
[...] los foros para propagar malware Publicado el Marzo 15, 2008 por Lestat Según comenta Eset se ha detectado la utilización de scripts maliciosos en foros de ayuda, portales educativos y [...]
15-3-2008 a las 12:45 am
ESTOY CASI SEGURO KE ME INFECTE EN EL SITIO DE APUESTAS BWIN.COM.AR
14-3-2008 a las 7:51 pm
[...] el día de hoy detectamos la utilización de comentarios con un script dañino, o enlaces, en una serie de importantes foros en varios idiomas y que llevan a la descarga de [...]