Tema: Inyección de código malicioso en mundodvd

Esta misma mañana, y gracias en gran medida al aviso de algunos usuarios, hemos descubierto un código malicioso ejecutándose en determinados archivos principales de mundodvd y forodvd. Al parecer, vbulletin (sistema que hace posible que ambos foros funcionen) incluía algunos agujeros de seguridad en las últimas versiones, que han permitido que algún indeseable pueda modificar archivos para incluir un código con redirección a una web no deseada.

Sabemos con seguridad que tanto chrome como firefox (al menos sus versiones actualizadas) detectaban el problema y avisaban de la vulnerabilidad a los usuarios que trataban de acceder al foro. También lo hacían norton y avast (antivirus gratuito).

Procedimiento

A las 11:05 de la mañana de hoy hemos sido alertados del posible problema de seguridad, que afectaba ambos sitios. Después de realizar varias comprobaciones rutinarias, hemos decidido desactivar los foros de forma cautelar para tratar de evitar cualquier tipo de problema.

Una vez detectado el primer código malicioso (codificado dentro de un archivo), hemos decidido cerrar el foro mediante usuario y contraseña, para evitar que cualquiera que accediese a alguna sección pudiese resultar redirigido mediante dicho código.

Con el perímetro asegurado, hemos revisado todos y cada uno de los códigos internos y hemos aplicado todas las medidas necesarias para cerrar el agujero, limpiando los archivos que habían sido modificados. En estos momentos todavía podéis estar recibiendo avisos de seguridad; google ya ha recibido nuestra notificación al respecto de los cambios, y esperamos que nos quite de la black list lo antes posible.

Recomendaciones

En el caso de que accedieseis a mundodvd.com en la noche/madrugada de ayer os recomendamos realizar un chequeo en profundidad de vuestros ordenadores a través de los programas antivirus que tengáis instalados para descartar posibles problemas. En general, casi todos los navegadores en sus últimas versiones incorporan filtros de seguridad que impiden este tipo de actividades, pero es aconsejable:

1. Actualizar el navegador web que utilicéis.
2. Actualizar todos los programas antivirus que tengáis instalados.
3. Tener el sistema operativo actualizado.
4. Realizar un test de vuestra máquina en profundidad.

Son pasos básicos que todos los usuarios deberíamos dar cada cierto tiempo, pero en casos en los que podríamos haber comprometido la seguridad de nuestros equipos considero necesario llevar a cabo todos los procesos citados.

Posibles herramientas antivirus:

Microsoft Security Essentials: http://www.microsoft.com/security_essentials/
AVG: http://free.avg.com/es-es/inicio (junto a http://linkscanner.avg.com/)
Avast: http://www.avast.com/es-ww/free-antivirus-download

NOD32: http://www.eset.es/productos/eset-nod32-antivirus

Lamentamos todas las molestias que el ataque haya podido ocasionaros y esperamos no tener que sufrir este tipo de ataques en el futuro.

Muchas gracias a todos por vuestro apoyo.

Bueno... pues volvemos a estar aquí. Por un momento, después de tantas horas me estaba empezando a preocupar. Esta noche cuando llegue a casa tendré que hacerle un análisis no vaya a ser que me haya entrado algún código malicioso en el ordenador.

Gracias compañeros!

Recomiendo borrar cache y cookies del móvil

Si tu móvil usa android pasale el AVG

Tenemos un aviso configurado en la cabecera de la web, y hemos programado un correo electrónico para avisar a todos los que accedieran a cualquiera de las horas "conflictivas" para que sean conscientes de los posibles problemas. De momento continuamos en la lista negra como sitio sospechoso, pero esperamos que no tarden mucho en revisar y modificar dicho estatus.

Gracias a todos por vuestra paciencia y por el apoyo recibido

swearengen, cuando se cerró el foro salia para meter user y contraseña, yo lo metí pensando que solo podían entrar registrados en ese momento, pero no pasaba nada, lo digo por si esa contraseña que metí se ha quedado visible o algo

Esta mañana he intentado entrar. Primero, "estamos trabajando". 2º, lo de usuario-clave, y tercero me saltaba el Chrome. Ahora ya no lo hace. ¿Qué tipo de malware era?. He pasado Malwarebytes en modo normal y total, y n oha pillado nada. Aparte he escaneado directorios y partes de Windows y nada. Tampoco he notado nada raro, ni más CPU, ni menos velocidad, ni menos velocidad en Internet, archivos rarunos, etc. Por si las moscas pasaré otro programa. No quiero que se repita el calvario del "rootkint.agent" que se me metió en 2010 y que casi acaba con el ordenador.

Gracias por limpiar estos códigos maliciosos, no metí la contraseña ni mi nombre de usuario cuando se cerró el foro por temor a que un virus me lo detectara.

recomendais cambiar la contraseña?

Hola, pues yo si que estuve en la noche/madrugada conectado, lo cierto es que estuve de pruebas tambien con el antivirus y casualidad le pase a mi PC a traves de la consola un par de comandos para que me verificara el sistema y arregló varios errores. No se si pudo deberse a esto.

¿Podriais dar más información acerca de como funcionaban estos codigos maliciosos?

Para así poder fijarme si hay algun cambio en mi ordenador.
Utilizo Firefox, con varios addons que dicen incrementar la seguridad, además de tener el que yo creo, es el mejor antivirus de pago actualmente, Kaspersky Internet Security 2012. Voy a echarle un analisis completo al ordenador, y si encuentro algo, os aviso.

Le he pasado un antivirus y dos antispyware, y no ha salido nada. El antivirus me ha analizado el ordenador al completo y no ha detectado nada, y el malwarebytes y el Spybot tampoco nada. De todas maneras no he estado conectado noche/madrugada. En princípio no se me ha "resfriao" el PC, pero bueno.

Yo también meti la contraseña y el usuario cuando me salio el mensaje ¿Ocurre algo por que lo haya introducido?

Puff, , pues menos mal que todo parece estar bien.

Menos mal que ayer se me encendió la lucecita gracias al AVAST.

Hay que tener un cuidao que no te imaginas.

En fín, gracias por arreglar tan rápido el problema. Gran curro, si señor.

Y yo echando la culpa a la navegación por otras webs ayer cuando Avast y el firewall Comodo sacaban ventanas de aviso de elemento malicioso en alguno de los temporales.
Aunque estoy muy tranquilo ya que ejecuto el navegador dentro de SandBoxie le he pasado Malwarebytes y cuando me vaya al catre le haré otra pasadita con ComboFix.

¿Sabéis si ese tipo de código puede afectar a Mac o a un Ipad?

A lo mejor si usas Firefox sí

Cuál es la situación actual de la incidencia?

Tengo navegador y equipo más o menos actualizado pero no carga www.mundodvd.com.
Aparece una página en blanco en Firefox y un aviso de error 500 en Chrome. El caso es que si puedo acceder directamente a las secciones a través de Google.

Un saludo.

Amigo Swearengen,todo mi apoyo a los Administradores que sé que están haciendo todo lo posible para solucionar este problema,qué le vamos a hacer siempre hay h. de p. haciendo daño y molestando.
Un abrazo.Alejandro.

Esta noche hemos sufrido las consecuencias habituales de una actualización rápida y no planificada (es decir: fallos que normalmente no cometeríamos si no hubiésemos tenido una bomba llena de cables de mil colores con un segundero en marcha). Teníamos un error en el index de portada, y por eso el acceso a mundodvd.com daba error 500 (fallo en el servidor), pese a que sí se podía acceder sin problemas a los distintos hilos del foro. Ya está solucionado.

Hemos aprovechado la revisión de esta mañana para depurar la base de datos (ahora tendría que ir un poco más rápido) y para planificar la actualización a la última versión del sistema, que realizaremos lo antes posible.

Aviso para los que intentasteis acceder a través de la ventana de usuario y password

No hay ningún problema. Cuando nos dimos cuenta de la infección decidimos cerrar todos los accesos al foro con un usuario y contraseña configurados por nosotros, para evitar que cualquier usuario accediese al foro y corriese el riesgo de ejecutar el script malicioso. Sabemos que muchos leen los avisos como "pincha en siguiente, pincha en siguiente, pincha en siguiente" y queríamos asegurarnos de que nadie resultase herido.

Gracias de nuevo a todos por vuestro apoyo

Muchas gracias por haber actuado tan rápido y suministrar tanta información del problema. ¡A eso lo llamo yo transparencia!

Por mi parte, ayer a horas del mediodía no podía entrar al foro ni con firefox ni con explorer (ambos la última versión disponible y actualizada para xp). Hoy por la mañana ya he podido entrar sin problemas, tanto conectado como usuario registrado como si no.

Lo dicho, muchas gracias por el esfuerzo realizado.

Gracias por el aviso, la información y la rápida reacción.

Gracias por solucionar el problema.

Con vosotros estamos en las mejores manos.

Hay algún problema si se utiliza mac con el safari ?

A esto se le llama eficiencia y rapidez.


Gracias.

Casi nada, el capullín que contaminó MundoDVD dejó esto "de regalo":

"El software malicioso incluye 16 exploit(s), 1 trojan(s). La infección ha provocado una media de 6 procesos nuevos en el equipo atacado.

El software malicioso está alojado en 1 dominios, incluidos traffic-hits956.info/"

Pone que comprobaron el 28 y lo encontraron el 28. Ahor aparece limpio.

Casi nada. Me ca*o en los cyberdelincuentes de los coj*nes. Para tirar el ordenador, que entre lo viejo que es, lo que me costó descontaminarlo en 2010, se me encasqueta eso... menos mal que Swearengen actuó con presteza. Es que es para no sé que hacerles. Si tanta energía se destinara a proyectos beneficiosos, en vez de a tanta maldad. :/