Desde hace algunos meses atrás, algunos usuarios se están viendo afectados debido a que sus paginas son infectadas con el adicionamiento no deseado de un tag que contiene enlaces hacia websites con extensiones de dominio de Rusia (.ru) y china ( .cn), o también adición de segmentos de código escrito en javascript que no comprenden que hace.
Esto trae como mayor inconveniente que las paginas son bloqueadas por una pantalla roja, esta pantalla indica que el bloqueo se debe a que contiene código malicioso (este mensaje sobre todo sale en el buscador de google y en el navegador firefox).
Los antecedentes:
Generalmente los usuarios se dan cuenta que su pagina no va bien o que ha sido modificada por que al intentar cargarla, no pueden hacerlo de manera completa (la pagina se muestra cortada) o los redirige hacia otras websites que contienen publicidad o de manera automática les quiere instalar un programa.
Al notar esto, algunos optan por consultar a soporte que es lo que ha pasado con la pagina web, otros solo suben un backup y arreglan el problema de manera temporal y la mayoría suponen (erroneamente) que es un error temporal del servidor y que si esperan algunos días se solucionara el problema.
Método de infección:
Según hemos visto en reiteradas oportunidades, el método consiste en agregar el código a los archivos index y a todos aquellos archivos con extensión .html y htm.
En un 99% de los casos esa modificación la han realizado con los accesos ftp de la cuenta principal de hosting
El método como obtienen la clave principal de la cuenta del hosting que están atacando aun no esta evidenciado claramente, en algunos foros mencionan que esta circulando por la red un virus o troyano que esta infectando los navegadores y que cuando los clientes se loguean a su cuenta de hosting, estos programas mandan los accesos a los piratas informáticos.
También se especula que hay una versión de cuteftp (pirata) que contiene un troyano que hace la misma operación de robar los passwords.
Después de eso, a través del uso de unos robots están descargando el index y las paginas html vía ftp, una vez que lo tienen, alteran el código de la pagina agregándole el código malicioso, y como último paso están subiendo la pagina web infectada (si es muy larga la pagina simplemente la mandan incompleta).
Es necesario remarcar que el proceso descrito anteriormente lo desarrollan a diario y desde IPs de maquinas ubicadas en Europa y Asia, no desde la maquina de la victima a la que le robaron el password.
Solución:
La solución mas adecuada, es que inmediatamente cambien el password desde una maquina la cual tengan la certeza que no esta infectada con ningún virus o troyano. Donde no tengan instalados programas piratas bajados desde paginas sospechosas (warez) o desde redes P2P.
El segundo paso seria eliminar virus y troyanos, para esta tarea debe utilizar un antivirus con la última actualización (por favor no usen antivirus piratas). NO es para nada recomendable tener 2 antivirus en una misma maquina.
Recomendamos utilizar http://www.malwarebytes.org/ para la detección y eliminación de Troyanos y Spywares
