Nuevamente nuestro Laboratorio se ha encontrado con miles de sitios modificados con scripts dañinos que permiten la descarga de troyanos desde sitios chinos.
Los sitios modificados están disponibles en cualquier buscador y si el usuario ingresa a uno de ellos se descargan los siguientes archivos:
- Sitio modificado con un iframe descarga http://www.kill[eliminado].cn/g.js
- Archivo g.js descarga http://www.kill[eliminado].cn/cc/index.htm
- Por su parte, este archivo index.htm descarga los siguientes scripts dañinos:
- 14.htm: script en VBS detectado por ESET NOD32 y ESET Smart Security como VBS/Psyme.AK
- rl.htm: script en JS que explota una vulnerabilidad en RealPlayer y es detectado como JS/Exploit.RealPlay.IX
- 04.htm: script en JS que explota una vulnerabilidad solucionada en el Boletín MS07-004 de Microsoft
- new.htm: troyano genéricamente detectado como Delf y que es ampliamente propagado, utilizando cualquiera de las vulnerabilidades mencionadas
Cada uno de estos scripts prueba diferentes vulnerabilidades en el sistema afectado y cualquiera de ellos que tenga éxito descargará otros malware en el equipo del usuario.
Actualmente, pueden encontrarse alrededor de 25.000 sitios afectados y por eso destacamos, una vez más, la necesidad de actualizar todas las aplicaciones.
Cristian
