Esta semana comencé la facultad de nuevo y junto con eso una pasantía en el centro de redes de otra universidad, todo esto implica una drástica disminución en mis tiempos libres xD.
Hoy después de varios días volví a recibir un mail de mi "contacto", pero el punto esta vez es que... el mail tiene el mismo asunto que el de la entrada del 15 de julio (http://viviendolared.blogspot.com/2010/07/otro-mail-interesante-encontrado-o.html) y pienso... mierda!!! ni siquiera se molestan en innovar!!! El archivo se sigue llamando igual, aunque esta vez se encuentra alojado en http://bit.ly/ afgHin?0.05796 -> http://svelin.com/stats/fotos.com .
Lo mas gracioso de este caso... es que el sitio en cuestión (svelin.com) corre el servicio Webalizer:
Ven el punto roojo? xD, bueno, analicemos... a los 4 días del mes de agosto se superaron ampliamente las métricas diarias respecto al resto de los meses, inclusive se superaron algunas métricas mensuales!!! En los 4 días que van de agosto hubo el doble de visitas que en todo julio jajjaja, definitivamente como administrador del sitio esto me llamaría poderosamente la atención. Los administradores ya fueron debidamente avisados.
Mirando un poco mas podemos hasta deducir la fecha en que se pudo haber perpetrado la intrusión:
Vemos que el día 3, las métricas revientan respecto a los otros dos días de agosto... claramente eso es un indicio de que comenzó a propagarse el enlace al malware que tienen hospedado...
Otro, mirá quien está en segundo puesto de las url mas accedidas :P
Esta siguiente me pareció MUY interesante, la mayoría de los referrers (páginas desde donde se accedió al enlace del malware) son webmails!!!
Al menos sospechoso deberia ser, que un sitio aparentemente Checo tenga un gráfico así:
Tendrían que hacer una versión en portugues? NO!!!!! tienen que borrar el fotos.com!!! y denunciar una intrusión a principios de agosto seguramente, posiblemente el 3 cerca del medio día!!!
Una vez mas queda claro el objetivo de este malware... BRASIL!!! el país sudamericano con mayores usuarios de internet y homebanking.
Esta vez no voy a hacer mas análisis de fotos.com, ya que se comporta de la misma manera que los anteriores, inclusive sigue utilizando a www.avinnovo.com y otros hosts que ya fueron advertidos de que se encuentran hospedando malware.
La pregunta es... ¿¿¿complicidad o ignorancia??? la respuesta es...
Actualización... navegando un poco mas el sitio en cuestión se puede encontrar una PHPshell... no voy a poner el enlace por una cuestión obvia, pero evidentemente el sitio está MUY comprometido.
No hay comentarios:
Publicar un comentario