sitio web etiquetado malicioso

Navega tus respuestas
2

Una ocurrencia común que he encontrado al hacer análisis forense en sitios web comprometidos es un patrón como este: 

<span>Clean code here</span>

<!--0c0a22-->
... malware code here ...
<!--/0c0a22-->

<div>clean code resumes</div>

En particular, el código HTML se delimita con <!--marker--> ... <!--/marker--> , el código PHP con #marker# ... #/marker# y JavaScript con /*marker*/ ... /*/marker*/ . Donde el marcador es un valor alfanumérico de 6 caracteres (posiblemente hexadecimal) que varía según la infección pero es consistente en todos los archivos infectados de una sola vez.

Entonces, mi pregunta es esta:
¿Existe una herramienta común que produzca este patrón, o tal vez sea un solo individuo o grupo? O de lo contrario, ¿por qué este patrón es tan consistente y común?

    
pregunta tylerl 24.07.2013 - 19:28
fuente

1 respuesta

2

Esto parece ser una forma de que el malware compruebe si ya ha infectado el archivo o no. No se necesita ninguna herramienta, podría ser algo tan fácil como una cadena con código hexadecimal que significa algo para el autor del malware, o simplemente podría ser una cadena generada al azar de algún patrón para ayudar al malware a identificar su propio código en las páginas infectadas. / p>

He visto técnicas similares en varios sitios web infectados.

    
respondido por el Adi 24.07.2013 - 19:35
fuente

Lea otras preguntas en las etiquetas

Sqlmap falla al habilitar el procedimiento xp_cmdshell ¿Se protegen los mensajes muy cortos con el cifrado de clave pública? [duplicar]