Hoy después de varios días volví a recibir un mail de mi "contacto", pero el punto esta vez es que... el mail tiene el mismo asunto que el de la entrada del 15 de julio (http://viviendolared.blogspot.com/2010/07/otro-mail-interesante-encontrado-o.html) y pienso... mierda!!! ni siquiera se molestan en innovar!!! El archivo se sigue llamando igual, aunque esta vez se encuentra alojado en http://bit.ly/ afgHin?0.05796 -> http://svelin.com/stats/fotos.com .
Lo mas gracioso de este caso... es que el sitio en cuestión (svelin.com) corre el servicio Webalizer:
Mirando un poco mas podemos hasta deducir la fecha en que se pudo haber perpetrado la intrusión:
Vemos que el día 3, las métricas revientan respecto a los otros dos días de agosto... claramente eso es un indicio de que comenzó a propagarse el enlace al malware que tienen hospedado...
Otro, mirá quien está en segundo puesto de las url mas accedidas :P
Esta siguiente me pareció MUY interesante, la mayoría de los referrers (páginas desde donde se accedió al enlace del malware) son webmails!!!
Al menos sospechoso deberia ser, que un sitio aparentemente Checo tenga un gráfico así:
Tendrían que hacer una versión en portugues? NO!!!!! tienen que borrar el fotos.com!!! y denunciar una intrusión a principios de agosto seguramente, posiblemente el 3 cerca del medio día!!!
Una vez mas queda claro el objetivo de este malware... BRASIL!!! el país sudamericano con mayores usuarios de internet y homebanking.
Esta vez no voy a hacer mas análisis de fotos.com, ya que se comporta de la misma manera que los anteriores, inclusive sigue utilizando a www.avinnovo.com y otros hosts que ya fueron advertidos de que se encuentran hospedando malware.
La pregunta es... ¿¿¿complicidad o ignorancia??? la respuesta es...
Actualización... navegando un poco mas el sitio en cuestión se puede encontrar una PHPshell... no voy a poner el enlace por una cuestión obvia, pero evidentemente el sitio está MUY comprometido.
No hay comentarios:
Publicar un comentario