Virus en UH10Blogs
Hola a todos, anoche el compañero Mich encontró hoy un enlace “Sospechoso” en la sección Blogosfera de UH10Blogs (http://10blogs.ultimahora.com/blogosfera/) que es la sección de el sitio de Ultima Hora con la idea de mostrar todos los blogs del país. Hasta ahí todo bien, una iniciativa muy noble, pero que no fue acompañada de un control regular (no sabemos como se controla esto) y que permitió que mucha gente que ni siquiera tiene blog (páginas en tocorre, fotologs, etc.) pueda figurar ahí y lo más grave: un enlace a una página de phishing y malware que supuestamente tiene material pornográfico, pero en realidad nos engaña para que descarguemos un troyano y a partir de ahí el resto es conocido.
Procedimos a documentar (tecla PrtSc en mano) paso a paso lo que pasa al cliquear en el enlace al supuesto “blog paraguayo” que figura en la Blogosfera.
Paso 1:
Entramos a mirar los blogs, y encontramos uno sospechoso en el 6º lugar de la lista.
Paso 2:
Ojala no lo estemos viendo en el trabajo, porque el vínculo lleva a una página pornográfica! Y “queremos” ver los videos gratuitos.
Paso 3:
Nuestro antivirus es tan malo que no nos dejará ver el video! Como es para fines educativos lo desactivamos un rato.
Paso 4:
Ahora que no tenemos a nadie que nos proteja, podemos ver el video..! Pero antes debemos actualizar nuestro reproductor de Flash. Como verán, la dirección del sitio no coincide con lo que el sitio pretende ser. Procedemos a “actualizar nuestro plugin” como nos pide que hagamos. Como son varias páginas las que vienen al darle clic a la imagen, pondré capturas de dos de ellas, y la primera y la ultima son donde supuestamente necesitamos un plugin para ver el video:
Paso 6:
Que rapidez! No hizo falta que vayamos a la página de adobe a seleccionar el tipo de descarga que haremos, el plugin se descarga automáticamente.
Paso 7:
El otro que nos agua la fiesta es el Windows Defender (no sabía que estaba activado) pero creo que es mejor dejar hasta aquí la aventura. En este paso tendrían que aparecer todos los demás antivirus, que no tengan monitor de internet.
Paso 8:
Mejor ni averiguar que sucede!
Ya es obvio que hay algo raro en esta página, y es preocupante el peligro que representa que esta página este siendo vinculada desde un sitio tan conocido como es el de Ultima Hora. Me puse en contacto con ellos para que borren este enlace, esperemos que lo hagan lo mas pronto posible.
La moraleja de la historia es: nunca estamos seguros, no importa cual sea el sitio que visitemos ni que tan noble sea su causa, todos estamos expuestos a que nos ocurran cosas como éstas. Sean muy cautelosos!
Esperemos que nadie haya sido afectado por este enlace!
Actualización: el link ya fue borrado de la página de UH10Blogs. Y como dice Mich a partir del paso 3 cambia un poco la cosa porque las páginas a las que llevan son aleatorias y los archivos que se descargan provienen de varios sitios (igual todos son bloqueados por el Antivirus), pero aún así el final es el mismo: se debe actualizar el plugin de Flash o el de Windows Media Player.
Articulos relacionados
Stuxnet muere, aquel gusano que atacaba sistemas nucleares →
No reinstales tu Windows por Virus →
Los 10 mejores blogs del Paraguay →
No puedo creer que en sea en la pahgina deUH enserio
Ta bien nomas, robate el crédito (?)
Al parecer es una especie de Falso antivirus, tipo el AntivirusXP y esos que rompen las bolas.
Llego a casa y reviso mejor, anoche tenía demasiado sueño…
EDIT: Anotá también que cada vez q se visita la página carga una distinta, y el archivo se puede bajar de varios nombres y servidores distintos cada vez que se visita… eso me pasó a mí al querer bajarlo de nuevo.
Actualizado, y ya borraron esa entrada del sitio por suerte! Varias veces páginas de empresas importantes eran bloqueadas por contener iframes maliciosos, en este caso esta página (la que estaba linkeada en UH) no fue todavía reportada a las blacklists que usan Firefox y Chrome.
Jajajá. ¿Por qué no probaste en una máquina virtual? A ver que pasaba.
Honestamente no confio mucho en sitios paraguayos, y por seguridad solo accedo a ellos usando Ubuntu (linux), al menos con tocorre ya tengo varias sorpresas