Inyección de código malicioso en forodvd.com

Esta mañana, y gracias en gran medida al aviso de algunos usuarios, hemos descubierto un código malicioso ejecutándose en determinados archivos principales de forodvd y mundodvd. Al parecer, vbulletin (sistema que hace posible que ambos foros funcionen) incluía ciertos agujeros de seguridad en las últimas versiones, que han permitido que algún indeseable pueda modificar archivos para incluir un código con redirección a una web no deseada.

Sabemos con seguridad que tanto chrome como firefox (al menos sus versiones actualizadas) detectaban el problema y avisaban de la vulnerabilidad a los usuarios que trataban de acceder al foro. También lo hacían norton y avast (antivirus gratuito).

Procedimiento

A las 11:05 de la mañana de hoy hemos sido alertados del posible problema de seguridad, que afectaba tanto a forodvd como a mundodvd. Después de realizar varias comprobaciones rutinarias, hemos decidido desactivar el foro de forma cautelar para tratar de evitar cualquier tipo de problema.

Una vez detectado el primer código malicioso (codificado dentro de un archivo), hemos decidido cerrar el foro mediante usuario y contraseña, para evitar que cualquiera que accediese a alguna sección pudiese resultar redirigido mediante dicho código.

Después de revisar y actualizar el archivo infectado, hemos decidido actualizar la versión de vbulletin de forodvd a la última versión disponible, lo que nos permitirá solucionar todos aquellos agujeros de seguridad que hayan sido detectados en las últimas semanas.

Recomendaciones

En el caso de que accedieseis a forodvd.com en la noche/madrugada de ayer os recomendamos realizar un análisis en profundidad de vuestros ordenadores a través de los programas antivirus que tengáis instalados para descartar posibles problemas. En general, casi todos los navegadores en sus últimas versiones incorporan filtros de seguridad que impiden este tipo de actividades, pero es aconsejable:

1. Actualizar el navegador web que utilicéis.
2. Actualizar todos los programas antivirus que tengáis instalados.
3. Tener el sistema operativo actualizado.
4. Realizar un test de vuestra máquina en profundidad.

Son pasos básicos que todos los usuarios deberíamos dar cada cierto tiempo, pero en casos en los que podríamos haber comprometido la seguridad de nuestros equipos considero necesario llevar a cabo todos los procesos citados.

Posibles herramientas antivirus:

Microsoft Security Essentials: http://www.microsoft.com/security_essentials/
AVG: http://free.avg.com/es-es/inicio (junto a http://linkscanner.avg.com/)
Avast: http://www.avast.com/es-ww/free-antivirus-download

NOD32: http://www.eset.es/productos/eset-nod32-antivirus


Lamentamos todas las molestias que el ataque haya podido ocasionaros y esperamos no tener que sufrir este tipo de ataques en el futuro.


Muchas gracias a todos por vuestro apoyo.

Pues el ataque significa una cosa, que el foro va como un tiro y hay a quien no le interesa, ahora entiendo como en EE.UU lleva aparejada más pena de cárcel que incluso un asesinato, ya que el daño y el coste que hay detrás es enorme.

Hace unas dos o tres semanas nos pasó algo parecido a varios foreros en el email asociado a forodvd, y cambiamos las claves.

Espero que se solucione pronto.

Saludetes

Os recomiendo también revisar vuestros equipos con una herramienta llamada COMBOFIX. Es muy efectivo y revisa todos los procesos en curso en cualquier pc con windows.

Recomendaciones:
- Bajarse el combofix
- Hacer una copia de seguridad del registro del windows (aunque el combofix hace otro)
- Detener el antivirus (no desinstalarlo, solo detenerlo)
- Ejecutar el combofix y dejarle que actúe. Puede que (según la versión del sistema) pregunte sobre si quieres instalar una herramienta para el arranque del windows, es irrelevante. Una vez que acabe los 50 pasos, eliminará todo lo que le parezca sin preguntar (por eso lo de hacer la copia del registro, por si se carga "demasiado", aunque rarísima vez ocurre algo así), y finalizará con una pantalla con un resumen completo de lo que ha hecho.
- Volver a activar el antivirus

Iniciado por petatester

Os recomiendo también revisar vuestros equipos con una herramienta llamada COMBOFIX. Es muy efectivo y revisa todos los procesos en curso en cualquier pc con windows.

Mucho ojo con combofix porque a pesar de que es capaz de eliminar malware que otras herramientas simplemente son incapaces de desactivar a veces amputa el pie a la altura del cuello. Conviene leerse muy bien la documentación y no usarlo a la ligera, más bien como último recurso.

Agradacer a la administración la información. Espero que se solucione todo.


Un saludete

A mi curiosamente me saltaba el antivirus cada vez que intentaba entrar en el foro.

Iniciado por pablopi

Mucho ojo con combofix porque a pesar de que es capaz de eliminar malware que otras herramientas simplemente son incapaces de desactivar a veces amputa el pie a la altura del cuello. Conviene leerse muy bien la documentación y no usarlo a la ligera, más bien como último recurso.

En UNA ocasión se cargó un proceso vital de un sistema muy concreto al que le pasé esta herramienta, y en cambio unas 560 veces me ha ido bien y tengo mucho que agradecerle a esta herramienta. Por eso insisto en que haya una copia del registro. Y de paso añado que si borra algún archivo de más, dependerá de cada usuario el tener una copia de seguridad previa, aunque esto es necesario casi en cualquier panorama de equipo.
Gracias por recordarme la necesidad de hacer esta puntualización.