Archivo para 12 Mayo, 2008
Miles de foros de phpBB infectados
Mayo 12, 2008 12:15 pmMiles de foros de PhpBB vulnerables están siendo modificados automáticamente por usuarios malintencionados para redirigir a sus usuarios hacia la descarga de scripts dañinos.
Actualmente pueden ser encontrados arededor de 230.000 foros que han sido modificados, redireccionando al usuario hacia un script http://xprmn[eliminado].info/f.js el cual permite la descarga de un troyano que ESET NOD32 detecta como JS/TrojanDownloader.Agent.NEC.
Este archivo a su vez permite la descarga de otros malware como pueden ser troyanos bancarios o de robos de información confidencial del usuario.
A continuación dejo una imagen de como figura el código fuente de un foro modificado:
Recomendamos a los usuarios extremar las precauciones al navegar y a los administradores a revisar sus sitios en busca de modificaciones en sus sitios web.
Cristian
Vota primero
Nuevamente nuestro Laboratorio se ha encontrado con miles de sitios modificados con scripts dañinos que permiten la descarga de troyanos desde sitios chinos.
Los sitios modificados están disponibles en cualquier buscador y si el usuario ingresa a uno de ellos se descargan los siguientes archivos:
- Sitio modificado con un iframe descarga http://www.kill[eliminado].cn/g.js
- Archivo g.js descarga http://www.kill[eliminado].cn/cc/index.htm
- Por su parte, este archivo index.htm descarga los siguientes scripts dañinos:
- 14.htm: script en VBS detectado por ESET NOD32 y ESET Smart Security como VBS/Psyme.AK
- rl.htm: script en JS que explota una vulnerabilidad en RealPlayer y es detectado como JS/Exploit.RealPlay.IX
- 04.htm: script en JS que explota una vulnerabilidad solucionada en el Boletín MS07-004 de Microsoft
- new.htm: troyano genéricamente detectado como Delf y que es ampliamente propagado, utilizando cualquiera de las vulnerabilidades mencionadas
Cada uno de estos scripts prueba diferentes vulnerabilidades en el sistema afectado y cualquiera de ellos que tenga éxito descargará otros malware en el equipo del usuario.
Actualmente, pueden encontrarse alrededor de 25.000 sitios afectados y por eso destacamos, una vez más, la necesidad de actualizar todas las aplicaciones.
Cristian
Vota primero
