Uno de los sitios de torrents más conocidos de internet estuvo sirviendo malware a sus visitantes sin que los administradores lo supieran, los atacantes lograron filtrar códigos maliciosos en la plataforma Openx para propagar un falso antivirus.
En el blog de Armorize puedes encontrar un informe detallado y un video que muestra el proceso de infección. Se trata de un ataque drive-by download que por medio de un applet de Java malicioso instala automáticamente un programa falso llamado Security Sphere 2012.
En SpamLoco he comentado varios casos parecidos (por ejemplo aquí y aquí). Imagina por un segundo la situación, navegas unos minutos por el sitio como lo haces habitualmente y al cerrar el navegador te encuentras con que hay un nuevo antivirus instalado, diciendo que el equipo está completamente infectado y solicitando tu tarjeta de crédito para comprar la licencia.
Si bien no es algo que suceda todos los días, tarde o temprano puede pasar si se dan las condiciones. En este caso un sitio que normalmente se visita comprometido, una versión de Java desactualizada y un antivirus que no fue capaz de bloquear el ataque.
Según se informa en Armorize, cuando el malware fue analizado la tasa de detección era muy baja (VT 2/43). Los responsables del ataque son los mismos que días atrás infectaron SpeedTest.net (un conocido servicio para medir la velocidad de conexión) también por medio de Openx, en esa oportunidad la tasa de detección en VirusTotal fue 0/43.
¿Y tu qué medidas implementas para evitar esta clase de ataques?
perdon me olvide de decir que me aparece como JS/Kryptik.AY Troyano
porque el antivirus nod32 me bloquea el blog amorize???
Porque publican los códigos maliciosos completos en los post y el antivirus al analizar el contenido de la página por las dudas lo bloquea, pero están publicados como texto, es decir que no se ejecuta. Así que no hay problema.
Esto dicen ellos: «Dear Reader, this blog contains full versions of malicious code and may trigger false positives from your antivirus software. Please be assured that the code is rendered as text for your research purposes, and not executed, and therefore any antivirus alert is a false positive. Thank you for supporting our blog!»
ahh esta bien gracias por responderme.
saludos
Elevation privilege ;)
¿Como obtenía permisos administrativos el antivirus para instalarse? ¿por arte de magia?
esto pasa por ser administrador