Destripando una web y descubriendo malware! [Tutorial]

Iniciado por blackdrake, Julio 20, 2013, 06:52:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 20, 2013, 06:52:22 PM Ultima modificación: Noviembre 30, 2014, 10:53:49 AM por Expermicid
Hoy en día, hay muchas webs que están infectadas por malwares estos atacan solo a unos cuantos navegadores vulnerables, en este tutorial vamos a aprender a reconocer una web infectada.

Lo primero que necesitamos es una web, pero recordar, tenemos sospechas de que está infectada por lo que no vamos a acceder a ella, directamente bajaremos su código fuente:

NOTA: He borrado la dirección de la web infectada por motivos de seguridad.

Código: php
wget www.sitioweb.com






Una vez tenemos el código fuente de la web, vamos a probar cambiando el user-agent

Podemos obtener una lista desde aqui: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Elegimos un user-agent, yo escogí este:

Código: php
Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0


Ahora volvemos a hacer lo mismo pero añadiendo este parámetro:

Código: php
wget www.sitioweb.com --user-agent "Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0"




Comparamos los diferentes archivos en busca de diferencias:




Observamos que el archivo con diferente user-agent tiene javascript ofuscado... vamos a desofuscar ese javascript para saber que contiene! :)

Para hacer rápido el tutorial y para que lo puedan hacer los más iniciados en este tema, recomiendo subir el javascript a esta web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta





Como vemos, ahí está el verdadero javascript, para evitar entrar a la web, analizaremos la url...



Bueno, después de este analisis, llegamos a la conclusión de que la web está infectada, podríamos analizar a fondo la dirección que nos sale del código, pero en este caso no es necesario porque tenemos la seguridad de que se trata de un malware.

Un saludo.



Muy bueno blackdrake, espero ver más aportes parecidos ;)
Twitter: @The_Pr0ph3t
[email protected]



Agosto 15, 2014, 09:47:15 AM #4 Ultima modificación: Agosto 15, 2014, 10:00:09 AM por WhiZ
Muy bueno Black! No había visto el post.

Aportes de esta calidad hacen que el foro sea lo q es.

Muchas gracias por compartir!

Abrazo!


Octubre 31, 2014, 01:25:48 AM #5 Ultima modificación: Octubre 31, 2014, 08:38:41 AM por Snifer
buen post. no conocia esta herramienta.
parece mas viable que lo que utlizo para mirar una web con malware.

gracias.
[ 1][0][1 ]
[ 1][1 ][0]
[ 0][0][ 0]
                              Trata a los demás como quieres que te traten.
                              Como quieres que te traten, trata a los demás.