En estas ultimas dos semanas ha aumentado el ataque de sitios WEB con PHP.
El comportamiento comun es que se inyecta un codigo javascript que comienza y termina con /*0c0896*/.
En los casos que he podido revisar lo comun es:
- Se ha accesado por el FTP (obtuvieron la clave del ftp)
- No se ha hecho inyeccion desde metodos POST/GET
Al parecer existen dos metodos de infeccion
1. Robando el password desde un cliente
2. Hackeando el acceso a los root de los servidores y saltandos por todas las unidades compartidas buscando archivos php.
Caso 1.
Encontramos archivos .NOMBRE.EXT.swp/swx que son los backups del VIM (header b0VIM, por lo que suponemos la infeccion comienza por ahi)
Actualizacion:
Para ubicarlo puede descargar todo su sitio y pasarle el antivirus Avira o SOPHOS.
Tambien podemos detectarlo con EMSISOFT un scanner de malware bien particular que incluye linea de comando y modo stand alone.
No hemos podido ubicarlo con SYMANTEC 12 July 2016 R3 (hemos procedido a reportar el file)
Origen y Alias del Trojan
Aunque la mayoria lo detecta como un virus generico, algunos usuarios lo han reportado con el nombre "Blackhole Exploit Kit (Type 2704)" lo cual nos lleva a la famosa suite de hacking que tiene diversos tipo de bombas logicas para tomar el control de los clientes.
Avast - JS:Blacole-CX
Drweb - JS.Redirector.145
Sunbelt - Trojan.JS.Obfuscator.aa
McAffe - JS/Exploit-Blacole.ht
El comportamiento comun es que se inyecta un codigo javascript que comienza y termina con /*0c0896*/.
En los casos que he podido revisar lo comun es:
- Se ha accesado por el FTP (obtuvieron la clave del ftp)
- No se ha hecho inyeccion desde metodos POST/GET
Al parecer existen dos metodos de infeccion
1. Robando el password desde un cliente
2. Hackeando el acceso a los root de los servidores y saltandos por todas las unidades compartidas buscando archivos php.
Caso 1.
Encontramos archivos .NOMBRE.EXT.swp/swx que son los backups del VIM (header b0VIM, por lo que suponemos la infeccion comienza por ahi)
Actualizacion:
Para ubicarlo puede descargar todo su sitio y pasarle el antivirus Avira o SOPHOS.
Tambien podemos detectarlo con EMSISOFT un scanner de malware bien particular que incluye linea de comando y modo stand alone.
No hemos podido ubicarlo con SYMANTEC 12 July 2016 R3 (hemos procedido a reportar el file)
Origen y Alias del Trojan
Aunque la mayoria lo detecta como un virus generico, algunos usuarios lo han reportado con el nombre "Blackhole Exploit Kit (Type 2704)" lo cual nos lleva a la famosa suite de hacking que tiene diversos tipo de bombas logicas para tomar el control de los clientes.
Avast - JS:Blacole-CX
Drweb - JS.Redirector.145
Sunbelt - Trojan.JS.Obfuscator.aa
McAffe - JS/Exploit-Blacole.ht
No hay comentarios.:
Publicar un comentario
Estimado lector sus opiniones son valiosas, tómese un tiempo para revisar y corregir su comentario.
Le agradecemos su partición
El equipo de DiarioTec