Pixfans

PixQuiz

Problemas con un malware

Jimmy30 de abril de 2013

virus-troyanos-malwaresEstamos teniendo problemas con un malware que lleva al usuario a una página para descargar un reproductor flash falso, y a los usuarios de móvil les lleva a la descarga de una aplicación maliciosa. En los dos casos, si esta aplicación no se abre, no pasa nada.

Es un problema que llevo semanas intentando solucionarlo, pero lo cierto es que no encuentro la forma de hacerlo. He buscado en Google pero no he encontrado un problema similar y hasta ahora no había salido ningún post ‘infectado’ a portada, pero hoy uno de ellos se publicó solo. Ya he instalado 5 plugins de anti-malware, pero no hay manera por lo que todas las sugerencias para solucionar este incidente son bienvenidas. Siento mucho los problemas que puedan haber causado a los lectores y espero solucionarlo cuanto antes.

De todas formas ahora parece que la página va bien y que no tiene códigos maliciosos en las entradas, pero si alguien descubre alguno, le agradecería que lo comentara. Gracias.

Pixfans

Acerca del autor

Acerca de Jimmy...

Juan Gestal (Jimmy) es un ingeniero informático santiagués que se dedica al diseño y programación de apps para móviles. Le encantan los juegos retro, los cómics, el mus y el zumo de naranja.

¿Te ha gustado el artículo?

Anotaciones relacionadas

Comentarios (25 en total)

  1. Ralkai Shagtten
    30/04/2013
    21:58

    No sintais nada, ni que fuera culpa vuestra.
    ¡Suerte en la batalla!

  2. Krusher
    30/04/2013
    22:01

    Y vosotros viendo el Madrid, sois unos abrazateles.

    SUPPORT YOUR LOCAL TEAM. NO AL ABRAZATELISMO.

  3. Yzumi
    30/04/2013
    22:12

    Mis recomendaciones como informático serían formatear los servidores e instalar un SO poco propenso a ataques de malware (Linux). Además de esto un certificado permitiría a los usuarios detectar ese malware.

  4. Jimmy
    30/04/2013
    22:35

    @Ralkai Gracias

    @Krusher Pues sé del Sevilla 😛

    @Yzumi Tenemos un linux Debian en el servidor y en cuanto al certificado, no sé para qué podría valer. Quizá para conexiones seguras, pero no hacen falta para leer un blog.

  5. Lv1z
    30/04/2013
    23:14

    Señor Jimmy si esta imagen es lo que muestra el malware:

    http://www.subirimagenes.net/pictures/3497f55dc6d8f2795c55003a5d06dfd2.jpg

    La solucion es esta:

    LA SOLUCIÓN:
    Borré los registro de esta extensión y dejó de aparecer. Para hacer esto hagan lo siguiente:

    1. MENÚ INICIO > EJECUTAR > Y entramos al Registro de Sistema (Tipeamos «regedit» + Enter)
    2. En menú EDICIÓN > BUSCAR: ingresamos el nombre de la extensión «nefbimbphlddggoikpapfadmgbjjibpl» y borramos el registro que encuentre.
    3. No existe un único registro de esta extensión por lo que sigan buscándolo bajo ese nombre y eliminándolos hasta que el buscador no encuentre más resultados.

    * Si al buscar la extensión en el Registro de Sistema no encuentra ningún resultado, revisen si el ID de la ext. el mismo que publico en el ejemplo. Sino lo puede chequear entrando en desde el Chrome en HERRAMIENTAS > EXTENSIONES y activando el Modo de Desarrollador. Buscamos la que está bajo nombre Extension web store.

    salu2

  6. Jimmy
    30/04/2013
    23:34

    Lv1z Sí, esa sería la otra opción, que el servidor estuviese limpio, pero uno de los editores de la página tuviese el malware y al escribir posts o editarlos éstos se infectasen con el código y se propagasen por la página. Por ello, acabo de cambiar todos los niveles de usuario, a ver si acoto el problema.

    Muchas gracias.

  7. radioak
    1/05/2013
    00:14

    Yo le di el aviso a Krusher para que te avisara… y sí, estaba viendo al madrid, bueno mas bien al Borussia 😀

    Espero que lo arregleis pronto

  8. ICEC00L
    1/05/2013
    00:25

    Que mala onda ese malware, a mi me hace escribir con HORRHORHES TE HORTHOGRAPHYA.

    Suerte con la batalla :D.

  9. Yeko
    1/05/2013
    01:01

    Yo lo vi esta mañana, es un mensaje escrito en no sé que idioma que se muestra en un cuadro que oscurece el fondo y entrega una única opción que es un botón de «aceptar».

    Suerte eliminándolo :3

  10. Hakumen
    1/05/2013
    02:03

    no se quel0pekaskaakmkitkekladkoakorkraeskribetokonka
    (si sabes que dice eres el master)

  11. Bleny
    1/05/2013
    03:17

    Yo como tengo el adblock lo veo como siempre

  12. Pepe
    1/05/2013
    03:23

    Yo los visito casi todos los dias y no me ha salido nada de nada. Uso google chrome en W8.

  13. Diego
    1/05/2013
    03:43

    Creo que ya sé lo que es, es la publicidad. Pidan a quienes les proveen el servicio que tengan más precaución, o derechamente péguenles una patada en el culo por inoperantes.

  14. Yeko
    1/05/2013
    04:09

    @Bleny: Yo tengo AdBlock e igual lo vi.

  15. ina
    1/05/2013
    09:09

    una pregunta, mas por curiosidad pero tambien puede solucionar cosas.
    el malware esta en tu equipo con el que actualizas la pagina, no en el servidor de la pagina no?
    En ese caso, yo mientras que lo machaco, usaria otro explorador, cambiaria la contraseña desde otro equipo antes.
    Espero que ns cuentes que estoy intrigado!

  16. Bleny
    1/05/2013
    10:15

    @Yeko Pero como e ido bloqueado mucha publicidad en otras paginas, esa ya la tendría en la lista de bloqueadas

  17. Eidan Yoson
    1/05/2013
    10:52

    Lo primero que haría yo seria lanzar un «netstat antp» para ver que conexiones hay en el servidor. Toma nota de sitios raros a los que se conecte y puertos que tengas abiertos en LISTENING. Puede que aunque hayas borrado el malware, aun queden «restos» por ahi.
    Por otro lado, si sabes aproximadamente cuando fue la infección, busca archivos que se hayan creado desde esa fecha en todo el disco duro (entiendo que tienes un server propio y no un hosting compartido). Si hay cosas malignas, deberían de salirte ahi (junto con el resto de archivos fidedignos).
    Si necesitas ayuda, email 🙂

  18. Roll
    1/05/2013
    12:34

    Es raro por que tienes actualizado a la última versión de wordpress y no creo que sea un fallo de la plataforma. Lo de que sea uno de los autores podría ser, pero también lo veo super extraño, quiero decir… ¿¿inserta código maligno en las entradas?? no tiene lógica, sería super fácil de localizar y le pasaría en todos los textarea de cualquier formulario web, no solamente en wordpress… Yo me decanto por un fallo de seguridad en algún plugin que tengas o bien desactualizado o bien obsoleto (no sé si utilizáis muchos plugins aquí), o en otro caso, por un fallo en la plantilla que estéis usando, que no sé si es de creación propia, pero puede tener código vulnerable.

  19. Jimmy
    1/05/2013
    20:38

    Pues quizá sea algo de un plugin… miraré a ver… pero también cabe la posibilidad de que sea un malware en el PC de un editor de la página. Yo he estado revisando el servidor y no encuentro nada sospechoso, incluso código fuente de por ejemplo, el functions.php que es donde suelen meterse este tipo de códigos.

  20. Zacoras
    1/05/2013
    23:56

    Yo tengo el adblock instalado hasta en el firefox de mi Android

    no se, si les pueda ser de utilidad consultar en esta pagina http://spamloco.net/ siempre salen post de como funcionan algunos problemas informaticos de seguridad

  21. Lulzerins
    2/05/2013
    00:48

    Con que por esto se empezó a descargar algo el movil cuando estaba en Pixfans, LOL.

  22. Un usuario
    2/05/2013
    09:06

    Estos virus entran a través de la publicidad, quitad los anuncios y ya no entra, luego averiguad por cuál entra.

  23. El usuario de antes
    2/05/2013
    09:22

    Este tipo de cosas ya las llevo viendo desde hace tiempo, por ejemplo en la desaparecida página de Escuadrón Pikmin.

  24. OvnY
    2/05/2013
    13:49

    Me parece más que es cosa de los navegadores, yo he visto ese tipo de pantallas de descarga con los que no tienen el «bloqueo de publicidad», en mi caso hasta ahora no me ha saltado lo que mencionas.

    Los que tienen los bloqueadores y aun así les salta, revisen que no haya alguna dirección de publicidad en los filtros.

  25. Heavy RockMX
    3/05/2013
    19:38

    Bueno, por hoy ya no apareció el dichoso link al flash player portugués falso


Deja tu huella

Sobre Pixfans

Pixfans es un blog alternativo sobre videojuegos, tecnología, cultura pop, cine, series y un montón de temas variados. Más sobre nosotros»

Publicidad

Artículos destacados

Archivo y Categorías

Últimas entradas

Últimos comentarios

Actividad en Facebook

Enlaces aleatorios

Sobre Pixfans

Pixfans.com es un blog alternativo sobre el mundo de los videojuegos.

Entradas populares

Últimos comentarios

  1. Disegnodacoloraremondo.com quiere ser tu portal favorito donde dar rienda suelta a tu amor por los colores, ofreciéndote una amplia y…

  2. Thank you for sharing this data. I really enjoy what you've written on your blog. You've shared a very useful…

  4. Si quieres descargar los mejores tonos de llamada para tu teléfono móvil, puedes visitar este sitio web: https://kostenloseklingeltone.de/

Últimas publicaciones

Creative Commons
Contacto | Aviso Legal | Publicidad | Sobre PixFans · Gestionado con Wordpress
Diseño por Manuel Sagra