Recomendado

En estas ultimas dos semanas ha aumentado el ataque de sitios WEB con PHP.

El comportamiento comun es que se inyecta un codigo javascript que comienza y termina con /*0c0896*/.

En los casos que he podido revisar lo comun es:

- Se ha accesado por el FTP (obtuvieron la clave del ftp)
- No se ha hecho inyeccion desde metodos POST/GET

Al parecer existen dos metodos de infeccion

1. Robando el password desde un cliente
2. Hackeando el acceso a los root de los servidores y saltandos por todas las unidades compartidas buscando archivos php.

Caso 1.
Encontramos archivos .NOMBRE.EXT.swp/swx que son los backups del VIM (header b0VIM, por lo que suponemos la infeccion comienza por ahi)

Actualizacion:
Para ubicarlo puede descargar todo su sitio y pasarle el antivirus Avira o SOPHOS.
Tambien podemos detectarlo con EMSISOFT un scanner de malware bien particular que incluye linea de comando y modo stand alone.
No hemos podido ubicarlo con SYMANTEC 12 July 2016 R3 (hemos procedido a reportar el file)

Origen y Alias del Trojan
Aunque la mayoria lo detecta como un virus generico, algunos usuarios lo han reportado con el nombre "Blackhole Exploit Kit (Type 2704)" lo cual nos lleva a la famosa suite de hacking que tiene diversos tipo de bombas logicas para tomar el control de los clientes.

Avast     - JS:Blacole-CX
Drweb   - JS.Redirector.145
Sunbelt - Trojan.JS.Obfuscator.aa
McAffe - JS/Exploit-Blacole.ht
 

0 comentarios