Entradas

Mostrando entradas de septiembre, 2019

SPAM en sitios web, generalmente que utilizan Wordpress - Parte II - Análisis de Malware

Imagen
Esta es la segunda parte del post donde analizo distintos malwares instalados en un sitio web, donde la mayoría tienen el mismo objetivo: enviar SPAM. Puedes revisar la primera parte acá. La muestra que reviso a continuación está escrita en Perl, debido a que el código es extenso dejo el link con la muestra original acá: https://github.com/inc0d3/malware/blob/master/spam/perl/dropper-envio-spam.pl Se utilizó  http://perlobfuscator.com/  o algo similar para ofuscar su código,  pero para hacerlo más legible, basta con cambiar la función "eval" por "print" y tendremos la siguiente salida: https://github.com/inc0d3/malware/blob/master/spam/perl/dropper-envio-spam-desofuscado.pl Este script lo que hace principalmente es la función de un dropper, descarga otro script en Perl; para ello consulta a la IP [217.172.180.24] con peticiones HTTP y esta responde con un link: https://xbclothes.com/wp-content/uploads/2018/06/attol.png Si analizamos la imagen PNG v

SPAM en sitios web, generalmente que utilizan Wordpress - Análisis de Malware

Imagen
Hace poco tuve que revisar el sitio web de un cliente, el trabajo era eliminar malware que estaba enviando mucho correo SPAM y también promocionando productos que claramente no era de su negocio o rubro. Lo primero que vi cuando entré al servidor fue una larga lista de archivos HTML con nombres aleatorios, todos ellos promocionando productos extranjeros. Seguí revisando y encontré scripts en PHP, Javascript y Perl, es decir, estaba más que infectado. Pero no quiero hablar sobre el trabajo de limpieza que tuve que hacer, sino del análisis de los distintos malwares instalados (que es una investigación personal, no estaba en el alcance del trabajo). JS REDIRECT Estas son dos muestras de la larga lista de archivos HTML, todos similares: Muestra HTML 1 <html> <head> <title>thousands32761 Gaudiest - whatsoeer alert seemliness champion affright. Listend sense.</title> <meta http-equiv="Content-Type" content="text/html; charset=ISO-88