Todo sobre SCOB y su ataque a servidores de InternetUna gran cantidad de sitios Web, algunos muy conocidos, fueron comprometidos este fin de semana en la distribución de código malicioso. El código ha sido identificado como "Scob" (otros nombres: Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
El atacante descargó un pequeño archivo conteniendo un código en JavaScript para infectar estos sitios, alterando la configuración de los servidores para que los mismos agreguen dicho script a todas los archivos que son solicitados por los usuarios (HTML, CSS, GIF, JPG, etc.).
Cuando un usuario visita el sitio infectado utilizando el Internet Explorer, el javascript es enviado a su máquina, y ejecutado. Las instrucciones del javascript descargan y ejecutan desde otro sitio de Internet, ubicado en Rusia, un troyano potencialmente peligroso.
Se han reportado diferentes ejecutables. Todos estos caballos de Troya incluyen capturadores de teclado (keyloggers), servidores proxy y otras puertas traseras que le permiten al atacante, el acceso total al sistema infectado.
El código en javascript utiliza una vulnerabilidad conocida del Microsoft Internet Explorer para descargarlos y ejecutarlos, sin que ninguna advertencia sea mostrada al usuario. Este tampoco debe hacer ningún clic sobre enlace alguno para infectarse (salvo el primero que lo llevó a visitar un sitio que perfectamente podría ser considerado seguro y que tal vez visitara todos los días, pero que ha sido también infectado).
Para administradores de sitios Web
Si su servidor está comprometido, usted puede observar lo siguiente:
- Todos los archivos enviados por el servidor web incluyen el javascript. Como el script es enviado como un pie de página global (global footer), todos los archivos lo agregarán, incluidas imágenes y otros documentos como archivos robots.txt, etc.
- Los archivos en el servidor no son alterados. El javascript se incluye como un pie de página global y es agregado por el servidor cuando los solicita el navegador.
- El "global footer" es puesto en un nuevo archivo.
No existen indicios claros de como se llegó a comprometer los primeros servidores atacados. La recomendación es reinstalar completamente un servidor que haya sido infectado, ya que quitando la opción de agregar el pie de página y borrando el javascript, no es posible asegurarse de haber eliminado otras amenazas que aún pueden permanecer latentes. Se trata de un ataque muy sofisticado y podrían existir otras puertas traseras escondidas.
Microsoft publicó una advertencia sobre el tema, en donde explica que también son vulnerables los usuarios de Windows 2000 Server que utilizan IIS, y que no hayan aplicado el parche 835732 para Windows, según se indica en uno de los últimos boletines emitidos por la compañía (MS04-011).
Microsoft recomienda a estos usuarios, descargar e instalar dicho parche. Más información:
MS04-011 Actualización crítica de Windows (835732)
Para usuarios domésticos
Si usted visita un sitio infectado y su navegador es afectado, tenga en cuenta lo siguiente:
- Puede ver un error relacionado con un javascript. Pero ello dependerá de como se tenga configurado el Explorer. Tenga en cuenta que la infección puede ocurrir aún sin este mensaje.
- Desconecte su sistema de la red tan pronto como pueda.
- Ejecute un antivirus actualizado (busque la última disponible, teniendo en cuenta que los fabricantes actualizaron sus productos entre el 25 y el 26 de junio, una base de datos con una fecha anterior no detectaría nada).
- Si usted utiliza un cortafuegos o es capaz de controlar de algún modo el tráfico de su PC hacia Internet, tal vez podrá ver los intentos de conexión con la dirección IP 217.107.218.147 por el puerto 80. Recuerde que en el caso de Windows XP el cortafuegos integrado solo le bloquea el tráfico entrante, no el saliente, por ello recomendamos ZoneAlarm u otro similar.
- No se han reportado hasta el momento, otras direcciones a las que el troyano intente conectarse, pero como dicho sitio ha sido desactivado, los atacantes podrían emplear los mismos métodos utilizados hasta ahora, para implantar un nuevo script que apunte a nuevas direcciones.
- La mayoría de los fabricantes de antivirus detectan este script como "Scob", con diferentes variaciones en su nombre (Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer, JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
- Una de las vulnerabilidades utilizadas (pero no todas), puede ser bloqueada descargando e instalando el siguiente parche (aunque se menciona el Outlook Express, corrige el fallo para todos los demás componentes de Windows):
MS04-013 Parche acumulativo para Outlook Express (837009)
Más información:
http://www.vsantivirus.com/faq-scob.htmSaludos :lol: :lol:
