Un poco de historia

Hace poco recibí una llamada de una persona que tenia una pagina web de ventas y me indicaba que estaba perdiendo muchos clientes porque al entrar a su pagina les aparecía el antivirus con un mensaje de infección y publicidad en la pagina de la que no tenia control. Esto producía que muchos clientes le llamaran para quejarse y perdiera ventas. Esta persona estaba desesperada porque no sabia que hacer y la persona encargada de la pagina (webmaster) tampoco sabia que hacer.

El servidor estaba basado en la plataforma LAMP(Linux, Apache, MySQL y PHP) con los frameworks WordPress y Magento para gestionar la pagina y la tienda. Aparentemente, todos los síntomas indicaban que el servidor a sufrido un ataque XSS debido a una vulnerabilidad en el código. Todas las paginas tenían en la cabecera el siguiente código PHP:

Este código luego mostraba lo siguiente al cliente:

Después de ver el log de acceso por FTP, la infección se había producido con el usuario principal del cual solo tenia acceso el webmaster de la pagina. Después de analizar el equipo que el estaba utilizando, entendí lo que había pasado.

Este código se aprovecha de una vulnerabilidad en Internet Explorer 9.0.8112.16421, que ha dia de hoy aun no esta solucionada para infectar con un virus a la persona que visita la pagina. Una vez infectado el sistema, modifica el archivo HOSTS de Windows para redirigir el trafico de varias redes de publicidad (ADsense entre otras) y lo peor de todo, busca las contraseñas de acceso al servidor mediante FTP almacenadas en Filezilla. Lamentablemente Filezilla almacena la contraseñas en modo texto. Una vez el virus tiene las contraseñas del servidor , las utiliza para poder acceder e inyectar el código malicioso en la cabecera de todas las paginas que encuentre. Con esto, el circulo se cierra y vuelve a empezar el proceso, infectando a mas personas.

Solución y desinfección del servidor:

1. Cambia las contraseñas FTP del servidor desde un equipo que no este infectado. Si no tienes acceso a un equipo desinfectado entonces es mejor que no cambies las contraseñas y desinfectes el equipo primero.
2. Carga una copia de seguridad que no este infectada y con esto ya estaría solucionado el problema con el servidor. Si no tienes un copia de seguridad, continua con el paso 3.
3. Si utilizas WordPress, debes ir a ..\wp-content\themes\NOMBRE_DEL_TEMA\header.php y buscar la linea de código php que indique anteriormente, borra la linea de código y guarda el código.
4. Como método preventivo también utilizaría el plugin de WordPress llamado Antivirus para escanear todo el código y asegurarte de que esta todo limpio.

Solución y desinfección del cliente:

1. Esta infección es muy reciente, por lo que muchos antivirus no la detectan, por suerte Security Essentials si que la detecta. Desinfecta el equipo con Microsoft Security Essentials, Sirefef y Waledac se suelen encontrar en C:\Users\USUARIO\AppData\Local\Temp\. Sirefef suele tener un nombre aleatorio con la extensión .dll y Waledac un nombre aleatorio con la extensión .tmp. Después de desinfectar el sistema debes escanear todo el sistema para descartar otras infecciones.
2. El archivo HOSTS de Windows también estará infectado. Si lo intentas desinfectar manualmente te encontraras con que el archivo tiene unos permisos especiales (por culpa del virus) y no podrás editarlo. La solución mas fácil para desinfectarlo es utilizar la siguiente herramienta de microsoft.

Como conclusión, recomiendo no volver a usar Internet Explorer. Firefox y Chrome son alternativas mas seguras. Si tienes alguna duda, déjame un comentario.