Redireccionadores camaleónicos

20 de octubre de 2009

Una de las consultas que más recibimos es relativa a usuarios de avast! que nos informan de que el antivirus está detectándoles amenazas en páginas web que dichos usuarios afirman que son “de confianza”. Como muestra clara, podéis leer este hilo en nuestro foro:

https://anti-virus.es/foro/viewtopic.php?f=2&t=407

Es muy importante tener en cuenta que, en muchos casos, los administradores de una web pueden no ser conscientes de que están propagando infecciones. Por ejemplo, algún hacker puede haber accedido a los archivos que están en el FTP que contiene la página y modificarlos posteriormente sin que el administrador se percate de este hecho.

Las infecciones que son producidas por sitios web de confianza se basan, en ocasiones, en encriptaciones bastante simples que son fácilmente detectables por usuarios avezados. Sin embargo, en muchos casos se usan algoritmos bastante complejos que tienen como fin último ocultar el proceso de redirección. Pero sea cual sea el método utilizado, el objetivo siempre es el mismo: redireccionar a los visitantes a páginas propagadoras de malware que incluyen algunos packs de exploits.

Hay también muchas infecciones que intentan imitar servicios muy conocidos y de confianza (en muchos casos de Google), siendo el más usado Google Analytics. Empieza con algunos pequeños cambios en las urls usadas por estos servicios, como por ejemplo cambiando “analytics” por “analitics”. En este artículo vamos a describir dos infecciones recientes que imitan este famoso servicio de Google de manera bastante compleja, y que a primera vista parecen ser legítimas.

Primero, vamos a mostrar el código original usado por Google Analytics:

JS:Redirector-T [Trj]

Este código fue detectado el 16 de Junio de 2009. Se trata de una imitación del código original de Google Analytics. La siguiente imagen muestra el código de la infección:

La diferencia fundamental se muestra en el rectángulo verde. El atributo ´sr?´no existe e incluso si es parte del tag resultante es ignorado por el navegador. El atributo origen está oculto. Se muestra con las flechas rojas de la imagen, por lo que puedes ver que está oculto usando una simple función de sustitución.

Una semana después de que avast! detectara esta amenaza y la incluyera en su base de datos, seguía siendo el único antivirus que seguía detectándola (Gdata usa el motor de avast! como uno de sus sistemas de detección). La siguiente imagen está tomada de Virustotal:

Podéis ver el reporte online haciendo clic aquí.

HTML:IFrame-HM [Trj]

Esta detección fue incluida en avast! el 25 de Junio de 2009. La imitación no es tan buena como en el caso anterior, pero hay elementos y palabras clave tomados de Google Analytics también. La siguiente imagen muestra la infección. Las etiquetas indican las secciones del código:

Y, otra vez, avast! era el único antivirus que os protegía de esta infección. La siguiente imagen fue tomada de Virustotal:

Podéis ver el reporte online haciendo clic aquí.

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram