Problemas con un malware

virus-troyanos-malwaresEstamos teniendo problemas con un malware que lleva al usuario a una página para descargar un reproductor flash falso, y a los usuarios de móvil les lleva a la descarga de una aplicación maliciosa. En los dos casos, si esta aplicación no se abre, no pasa nada.

Es un problema que llevo semanas intentando solucionarlo, pero lo cierto es que no encuentro la forma de hacerlo. He buscado en Google pero no he encontrado un problema similar y hasta ahora no había salido ningún post ‘infectado’ a portada, pero hoy uno de ellos se publicó solo. Ya he instalado 5 plugins de anti-malware, pero no hay manera por lo que todas las sugerencias para solucionar este incidente son bienvenidas. Siento mucho los problemas que puedan haber causado a los lectores y espero solucionarlo cuanto antes.

De todas formas ahora parece que la página va bien y que no tiene códigos maliciosos en las entradas, pero si alguien descubre alguno, le agradecería que lo comentara. Gracias.

25 comentarios
  1. Yzumi
    Yzumi Dice:

    Mis recomendaciones como informático serían formatear los servidores e instalar un SO poco propenso a ataques de malware (Linux). Además de esto un certificado permitiría a los usuarios detectar ese malware.

    Responder
  2. Jimmy
    Jimmy Dice:

    @Ralkai Gracias

    @Krusher Pues sé del Sevilla 😛

    @Yzumi Tenemos un linux Debian en el servidor y en cuanto al certificado, no sé para qué podría valer. Quizá para conexiones seguras, pero no hacen falta para leer un blog.

    Responder
  3. Lv1z
    Lv1z Dice:

    Señor Jimmy si esta imagen es lo que muestra el malware:

    http://www.subirimagenes.net/pictures/3497f55dc6d8f2795c55003a5d06dfd2.jpg

    La solucion es esta:

    LA SOLUCIÓN:
    Borré los registro de esta extensión y dejó de aparecer. Para hacer esto hagan lo siguiente:

    1. MENÚ INICIO > EJECUTAR > Y entramos al Registro de Sistema (Tipeamos “regedit” + Enter)
    2. En menú EDICIÓN > BUSCAR: ingresamos el nombre de la extensión “nefbimbphlddggoikpapfadmgbjjibpl” y borramos el registro que encuentre.
    3. No existe un único registro de esta extensión por lo que sigan buscándolo bajo ese nombre y eliminándolos hasta que el buscador no encuentre más resultados.

    * Si al buscar la extensión en el Registro de Sistema no encuentra ningún resultado, revisen si el ID de la ext. el mismo que publico en el ejemplo. Sino lo puede chequear entrando en desde el Chrome en HERRAMIENTAS > EXTENSIONES y activando el Modo de Desarrollador. Buscamos la que está bajo nombre Extension web store.

    salu2

    Responder
  4. Jimmy
    Jimmy Dice:

    Lv1z Sí, esa sería la otra opción, que el servidor estuviese limpio, pero uno de los editores de la página tuviese el malware y al escribir posts o editarlos éstos se infectasen con el código y se propagasen por la página. Por ello, acabo de cambiar todos los niveles de usuario, a ver si acoto el problema.

    Muchas gracias.

    Responder
  5. radioak
    radioak Dice:

    Yo le di el aviso a Krusher para que te avisara… y sí, estaba viendo al madrid, bueno mas bien al Borussia 😀

    Espero que lo arregleis pronto

    Responder
  6. Yeko
    Yeko Dice:

    Yo lo vi esta mañana, es un mensaje escrito en no sé que idioma que se muestra en un cuadro que oscurece el fondo y entrega una única opción que es un botón de “aceptar”.

    Suerte eliminándolo :3

    Responder
  7. Diego
    Diego Dice:

    Creo que ya sé lo que es, es la publicidad. Pidan a quienes les proveen el servicio que tengan más precaución, o derechamente péguenles una patada en el culo por inoperantes.

    Responder
  8. ina
    ina Dice:

    una pregunta, mas por curiosidad pero tambien puede solucionar cosas.
    el malware esta en tu equipo con el que actualizas la pagina, no en el servidor de la pagina no?
    En ese caso, yo mientras que lo machaco, usaria otro explorador, cambiaria la contraseña desde otro equipo antes.
    Espero que ns cuentes que estoy intrigado!

    Responder
  9. Bleny
    Bleny Dice:

    @Yeko Pero como e ido bloqueado mucha publicidad en otras paginas, esa ya la tendría en la lista de bloqueadas

    Responder
  10. Eidan Yoson
    Eidan Yoson Dice:

    Lo primero que haría yo seria lanzar un “netstat antp” para ver que conexiones hay en el servidor. Toma nota de sitios raros a los que se conecte y puertos que tengas abiertos en LISTENING. Puede que aunque hayas borrado el malware, aun queden “restos” por ahi.
    Por otro lado, si sabes aproximadamente cuando fue la infección, busca archivos que se hayan creado desde esa fecha en todo el disco duro (entiendo que tienes un server propio y no un hosting compartido). Si hay cosas malignas, deberían de salirte ahi (junto con el resto de archivos fidedignos).
    Si necesitas ayuda, email 🙂

    Responder
  11. Roll
    Roll Dice:

    Es raro por que tienes actualizado a la última versión de wordpress y no creo que sea un fallo de la plataforma. Lo de que sea uno de los autores podría ser, pero también lo veo super extraño, quiero decir… ¿¿inserta código maligno en las entradas?? no tiene lógica, sería super fácil de localizar y le pasaría en todos los textarea de cualquier formulario web, no solamente en wordpress… Yo me decanto por un fallo de seguridad en algún plugin que tengas o bien desactualizado o bien obsoleto (no sé si utilizáis muchos plugins aquí), o en otro caso, por un fallo en la plantilla que estéis usando, que no sé si es de creación propia, pero puede tener código vulnerable.

    Responder
  12. Jimmy
    Jimmy Dice:

    Pues quizá sea algo de un plugin… miraré a ver… pero también cabe la posibilidad de que sea un malware en el PC de un editor de la página. Yo he estado revisando el servidor y no encuentro nada sospechoso, incluso código fuente de por ejemplo, el functions.php que es donde suelen meterse este tipo de códigos.

    Responder
  13. Zacoras
    Zacoras Dice:

    Yo tengo el adblock instalado hasta en el firefox de mi Android

    no se, si les pueda ser de utilidad consultar en esta pagina http://spamloco.net/ siempre salen post de como funcionan algunos problemas informaticos de seguridad

    Responder
  14. Un usuario
    Un usuario Dice:

    Estos virus entran a través de la publicidad, quitad los anuncios y ya no entra, luego averiguad por cuál entra.

    Responder
  15. El usuario de antes
    El usuario de antes Dice:

    Este tipo de cosas ya las llevo viendo desde hace tiempo, por ejemplo en la desaparecida página de Escuadrón Pikmin.

    Responder
  16. OvnY
    OvnY Dice:

    Me parece más que es cosa de los navegadores, yo he visto ese tipo de pantallas de descarga con los que no tienen el “bloqueo de publicidad”, en mi caso hasta ahora no me ha saltado lo que mencionas.

    Los que tienen los bloqueadores y aun así les salta, revisen que no haya alguna dirección de publicidad en los filtros.

    Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *