, ,

DESTRIPANDO UNA WEB Y DESCUBRIENDO MALWARE!
Publicidad




 Hoy en día, hay muchas webs que están infectadas por malwares estos atacan solo a unos cuantos navegadores vulnerables, en este tutorial vamos a aprender a reconocer una web infectada.

Lo primero que necesitamos es una web, pero recordar, tenemos sospechas de que está infectada por lo que no vamos a acceder a ella, directamente bajaremos su código fuente:

NOTA: He borrado la dirección de la web infectada por motivos de seguridad.

wget www.sitioweb.com





Una vez tenemos el código fuente de la web, vamos a probar cambiando el user-agent

Podemos obtener una lista desde aqui:http://www.useragentstring.com/pages/useragentstring.php

Elegimos un user-agent, yo escogí este:

Mozilla/5.0 (Windows NT 6.2; Win64; x64;) Gecko/20100101 Firefox/20.0

Ahora volvemos a hacer lo mismo pero añadiendo este parámetro: 

wget www.sitioweb.com --user-agent "Mozilla/5.0 (Windows NT 6.2; Win64; x64;) 
Gecko/20100101 Firefox/20.0"



Comparamos los diferentes archivos en busca de diferencias:





Observamos que el archivo con diferente user-agent tiene javascript ofuscado... vamos a desofuscar ese javascript para saber que contiene! 

Para hacer rápido el tutorial y para que lo puedan hacer los más iniciados en este tema, recomiendo subir el javascript a esta web: http://wepawet.iseclab.org/





Como vemos, ahí está el verdadero javascript, para evitar entrar a la web, analizaremos la url...



Bueno, después de este analisis, llegamos a la conclusión de que la web está infectada, podríamos analizar a fondo la dirección que nos sale del código, pero en este caso no es necesario porque tenemos la seguridad de que se trata de un malware.

Autor: Blackdrake

0 comentarios:

Publicar un comentario