El gran ataque del servidor Chino… ¿la saga continúa?

Ayer detectamos el inicio del último ataque masivo de hackers, que altera sitios web para introducir enlaces a servidores nocivos. Creemos que en los últimos dos días este ataque ha victimado entre 2.000 y 10.000 servidores, en su mayoría de Europa Occidental y Estados Unidos. Aún no se conoce al responsable del ataque.

Todavía estamos tratando de determinar la manera exacta en la que se alteran los sitios, pero hay dos teorías probables: utilizando una inyección SQL o utilizando datos de acceso a cuentas de los sitios que ya habían sido robadas. Un factor común es que la mayoría de los sitios atacados utilizan algún tipo de motor ASP.

Estos ataques todavía no representan una amenaza de magnitud similar a los de los primeros que vimos a inicios de primavera de este año y que afectaron más de un millón y medio de recursos de la red. Pero está en constante desarrollo, y la naturaleza similar de los programas nocivos utilizados en ambos ataques nos lleva a pensar que esta nueva ola de ataques tiene el potencial de ser muy seria.

¿Cómo funcionan los ataques?

Los delincuentes agregan una etiqueta,, al HTML de los sitios atacados.

El enlace dirige a un Java Script ubicado en uno de seis servidores. Estos servidores funcionan como portales para redirigir pedidos. Hemos identificado seis de estos portales y los hemos añadido a la lista de rechazados de nuestro antivirus:

• armsart.com
• acglgoa.com
• idea21.org
• yrwap.cn
• s4d.in
• dbios.org

Si eres un administrador, deberías bloquear el ingreso a estos sitios.

Al visitar cualquiera de estos sitios, se redirige al usuario a un servidor nocivo llamado vvexe.com, ubicado en China. Después se lanza un ataque al ordenador de la víctima utilizando exploits.

Por ahora hemos visto varios exploits involucrados en el ataque, que aprovechan vulnerabilidades en Internet Explorer, Macromedia Flash Player y la vulnerabilidad de ActiveX (MS08-053), cuyo parche lanzó Microsoft hace menos de 2 meses. También hay exploits diseñados para atacar usuarios de Firefox.

Esta es la lista de los programas nocivos del sitio que detecta nuestro antivirus:

• Trojan-Downloader.HTML.Agent.ls
• Trojan-Downloader.SWF.Agent.ae
• Trojan-Downloader.SWF.Agent.ad
• Trojan-Downloader.SWF.Agent.af
• Trojan-Downloader.SWF.Small.em
• Trojan-Downloader.SWF.Small.en
• Trojan-Downloader.JS.Agent.cwt
• Trojan-Downloader.JS.Agent.cwu
• Trojan-Downloader.JS.Agent.cww
• Trojan-Downloader.JS.Agent.cwv
• Trojan-Downloader.JS.Agent.cwx
• Trojan-Downloader.JS.Agent.cwy
• Exploit.JS.Agent.xu
• Trojan-Dropper.JS.Agent.z

Si tu ordenador es vulnerable a cualquiera de estos exploits, se instalará además otro programa nocivo, Trojan-Downloader.Win32.Hah.a.

Este troyano a su vez descarga más malware, y la información de estos programas están en un archivo de configuración en el sitio vvexe.com.

Hoy vimos que se instalaban tres programas maliciosos:

Trojan-GameThief.Win32.WOW.cer – un troyano diseñado para robar datos de acceso a las cuentas del juego World of Warcraft.

Trojan-Spy.Win32.Pophot.gen – otro programa espía que roba datos y además trata de eliminar varias soluciones antivirus

Trojan.Win32.Agent.alzv – este troyano descarga aún más programas espías: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.

Si eres dueño o administrador de un sitio que utiliza un motor ASP, busca en tus páginas un enlace como este: . Si lo encuentras, elimínalo. No sólo tu seguridad está en riesgo, también la de todos los visitantes de tu sitio.