Código malicioso detectado por AVIRA como Vundo.NV, Spy.Banker.mxp o FakeScanner.ziu en SUEMPRESA.COM

Pensé mucho antes de escribir este post, pero creo que la gente que confía en empresa "serias" debe saber cuando no lo son o cuando al menos una parte importante del personal no está interesada en dar un buen servicio.

Hace unas semanas un cliente me dijo que su sitio tenía un virus que se lo detectaba el AVIRA (el antivirus del paragüita). Le expliqué que no podia haber virus en un sitio web, que no tenía sentido, que el AVIRA no era un antivirus muy confiable, etc, etc. Finalmente me tuve que comer mis palabras....

Al empezar a revisar el sitio (que tiene mas de 500 páginas) comencé a ver que la mayoría de ellas tenía un código luego de la etiqueta </html>, lo cual no es muy lógico. Este código era un <iframe> que estaba intentando redireccionar al navegador (Internet Explorer, Firefox, Opera, Safari, etc) a un "count.php" en otra dirección IP. Al principio no estaba muy seguro de que se trataba, y como este sitio no había sido desarrollado por mi pensé que tal vez el webmaster anterior simplemente tenía un contador en su propio sitio, o que quería llevar algún tipo de control, lo que no es muy profesional pero tampoco es algo dañino.

Pero bueno, cuando vi el mensaje del Firefox me di cuenta que no era algo "tan inocente"

SITIO DE ATAQUE REPORTADO
Este web site ha sido reportado como un sitio de ataque y ha sido bloqueado basado en sus preferencias de seguridad.

Hace años que trabajo en sistemas y sé que la seguridad es un proceso muy complicado y que una brecha no significa necesariamente falta de capacidad o interés, sino que a veces esto pasa y lo importante es solucionarlo rápidamente para que el problema no se expanda o complique.

Por este motivo contacté al soporte de SUEMPRESA.COM, pero luego de responderme casi sin leer varios mensajes que envié, hicieron caso omiso a este problema. No solo no lo solucionaron si no que ni siquiera contestaron mi último mail donde les explicaba que ELLOS tenían que solucionar este problema, ya que aunque yo hubiera limpiado completamente el sitio de mi cliente (+500 páginas!!!) si la brecha de seguridad continuaba, podría volver a "infectarse".

Código malicioso detectado

He detectado 3 variantes distribuidas aleatoriamente de este código (lo siento, no se puede copiar y pegar porque lo pongo como imagen para evitar posibles problemas...)

Código Malicioso Variante 1

Código Malicioso Variante 2

Código Malicioso Variante 3

Como limpiar Vundo.NV, Spy.Banker.mxp o FakeScanner.ziu

Bueno, en este caso, lo único que hay que hacer es borrar todo lo que está después de la etiqueta </html> CUIDADO, NO LA <html> QUE ESTA AL INICIO DE LA PAGINA, SINO LA </html> QUE DEBERIA ESTAR AL FINAL.

Puede ser una tarea muy engorrosa, pero conviene hacerlo con cuidado para asegurarse de no dañar ninguna página del site. También puede intentarse con algún script. De cualquier forma es recomendable revisar todo el sitio para ver que no quede nada dañado.

Yo he mandado un correo electrónico a varios sites (25) que se hospedan en SUEMPRESA.COM, pero es muy dificil saber todos los dominios hospedados, por lo que si conocen a alguien háganle saber de este problema.

Paciencia, a mi me tomó varias horas...