Destripando una web y descubriendo malware!
Hoy en día, hay muchas webs que están infectadas por malwares estos atacan solo a unos cuantos navegadores vulnerables, en este tutorial vamos a aprender a reconocer una web infectada.
Lo primero que necesitamos es una web, pero recordar, tenemos sospechas de que está infectada por lo que no vamos a acceder a ella, directamente bajaremos su código fuente:
NOTA: He borrado la dirección de la web infectada por motivos de seguridad.
wget www.sitioweb.com
Una vez tenemos el código fuente de la web, vamos a probar cambiando el user-agent
Podemos obtener una lista desde aqui: http://www.useragentstring.com/pages/useragentstring.php
Elegimos un user-agent, yo escogí este:
Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0Ahora volvemos a hacer lo mismo pero añadiendo este parámetro:
wget www.sitioweb.com --user-agent "Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0"
Comparamos los diferentes archivos en busca de diferencias:
Observamos que el archivo con diferente user-agent tiene javascript ofuscado... vamos a desofuscar ese javascript para saber que contiene!
Para hacer rápido el tutorial y para que lo puedan hacer los más iniciados en este tema, recomiendo subir el javascript a esta web: http://wepawet.iseclab.org/
Como vemos, ahí está el verdadero javascript, para evitar entrar a la web, analizaremos la url...
Bueno, después de este analisis, llegamos a la conclusión de que la web está infectada, podríamos analizar a fondo la dirección que nos sale del código, pero en este caso no es necesario porque tenemos la seguridad de que se trata de un malware.
Autor: Blackdrake
