Será que seu site está sendo usado como depósito de malware?

Recentemente um amigo que tem uma empresa me notificou que recebeu um email que dizia o seguinte:

image

Este e-mail foi enviado pela Fraud Watch (maiores informações em http://www.fraudwatchinternational.com/about) e apontava para um conteúdo que realmente estava armazenado (sem ele saber) no seu site. Fiz um pequeno teste tentando acessar o conteúdo e recebi o seguinte erro:

image

Aparentemente o provedor já tinha bloqueado acesso ao conteúdo. Fiquei desconfiado com o conteúdo (CPL) pois eu já tinha recebido vários SPAMs de boleto com links para arquivos CPL e EXE (inclusive o de EXE documentei aqui), ou seja, eu já imaginava que tratava-se de um malware, queria apenas abrir o arquivo no IDA PRO e tentar fazer engenharia reversa para entender o que o ele tentava fazer. Mas em fim, depois de um tempo este meu colega me avisou que o provedor descobriu que de fato era um malware, que ficava passivamente naquele diretório, porém era usado em links de SPAM (ou seja, exatamente igual ao que documentei aqui). Portanto, é importante ficar atento ao site que você mantém, seja qual for o provedor que seu site está armazenado. Assegure que você:

  • Troque a senha da sua conta de FTP (caso use FTP para fazer manutenção das páginas do seu site) a cada 90 dias (no mínimo)
  • Tenha antivirus atualizado na máquina que você usa para fazer upload das páginas do seu site
  • Mantenha sempre o computador que é usado para fazer manutenção do site atualizado, com os últimos patches de segurança
  • Revise sempre as pastas que ficam no seu provedor para saber se os arquivos que estam lá de fato fazem parte da sua página

No Brasil, os top 10 malwares do último quarto do ano de 2012 segundo o Security Intelligence Report da Microsoft foram os seguintes:

image
(Origem: SIR Regional Threat Assessment Brazil)

O motivo pelo qual estou trazendo estas categorias de malware que são as mais comuns no Brasil é que muitas vezes devido ao fato de você está utilizando uma máquina para fazer manutenção no seu site que não está atualizada, é possível que você esteja infectado com um destes malwares. Um possível cenário:

“O desenvolvedor da página web está com a máquina infectada com o Win32/Keygen (que por sua vez tem várias variantes, ver aqui para maiores info), uma das variantes pode ter instalado um trojan que vai capturar a senha de FTP e colocar o arquivo malicioso no site.”

Em fim, são cenários possíveis que algumas vezes podem ser evitados com o mínimo de cuidado aonde navega, aonde clica e com uso das práticas acima recomendadas.

Stay safe!

This entry was posted in malware, segurança. Bookmark the permalink.

2 Responses to Será que seu site está sendo usado como depósito de malware?

  1. Boa Yuri! Na minha opinião, faltou apenas acrescentar sempre fazer backups🙂

    • Perfeito meu caro, concordo plenamente e acrescento o restore, pois muitas vezes o backup é realizado mas não há rotina de restore para validar se o backup está funcionando🙂

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s