Nuevo troyano ataca servidores Web GNU/Linux y Windows.

Trabaja de la siguiente forma: se propaga infectando archivos con Extensión html, html, php, y js con los nombres como home, main, index, header, footer bloqueando la visualización de los mismos o haciendo un direccionamiento a otro sitio y ataca los pc’s de los usuarios del sitio Web, aumentando su propagación. El virus incrusta un código malicioso después de la etiqueta /HTML  y al final de cada archivo con extensión JS. (No es un comercial) pero fue detectado por AVAST tanto en su versión gratuita como en la empresarial.

¿Cómo remover el virus? Prácticamente hay que remover el script malicioso de cada uno de estos archivos para no perder nuestros sitios.

1. Primero que nada renombra el index principal de tu sitio para que no sea accesible (por algo como: index.php_)  y evites la propagación e informa a tu proveedor de hosting.

2. Si realizas backups (Que es una buena práctica) restaura tu sitio a una fecha anterior, ésto lo soluciona de una forma rápida.

3. En caso de no tener backup’s o de que no funciona tendremos una tarea mas difícil. Primero Instala Avast en la computadora donde tienes instalado tu cliente ftp e inicia la descarga completa del sitio, te aparecerán una serie de alertas por cuanto archivo html, php y js que encuentre con las características que mencioné anteriormente. al final tendrás solo los archivos que no están infectados en tu equipo. abre avast y busca en el “escudo Web” el registro de actividades, dentro encontrarás la lista de archivos que se intentaron descargar pero están infectados, así que ya sabes cuales son tus enemigos lo cuales tendrás que limpiar vía HTTP desde tu panel de administración (CPanel , Direct Admin etc..)utilizando el File Manager. Hay un script en la red que presume hacer está limpieza automáticamente, la verdad yo prefiero hacerlo manual puesto que tendría que meter otro script desconocido en mi servidor, simplemente no confío.

Alerta de Avast

Alerta de Avast

4. Si tu sitio utiliza una aplicación Web como Wordpress, Joomla, Drupal, Concrte5, PHPNuke, PHPbb, Magento, Oscommerce etc. Sólo actualiza los mismos y limpia los modulos, componentes, plugins y extensiones de terceros o los archivos que resten por limpiar.

He aquí una copia del código malicioso que hay que borrar:

“]”]Trojan Attack: JS:Illredir-B [Trj]

Trojan Attack: JS:Illredir-B [Trj

En el caso de los archivos .js es más fácil de identificar porque siempre esta al final y es diferente al del html.
5. Recuerda hacer un respaldo cuando todo regrese a la normalidad y cambia tus contraseñas de acceso, revisa todas tu carpetas desde el root.

Espero y les sea de utilidad.