miércoles, 28 de mayo de 2008

Malware contra el mundo (menos China)

En estos días, una tendencia común en la distribución del malware es inyectar códigos maliciosos directamente en sitios web, aprovechando vulnerabilidades en algunos de ellos. Luego, cuando el usuario visita uno de sus sitios favoritos, puede llegar a infectarse. La tendencia se viene acentuando desde fines del año pasado.

Ayer, por ejemplo, Dancho Danchev reportaba un nuevo caso donde varios miles de sitios se encontraban infectados por una amenaza que, aprovechando una vulnerabilidad, podía infectar a sus visitantes.

Lo interesante que encontré, al analizar el código inyectado mediante el script reg.js, fue que la misma hacía una diferenciación basada en el idioma del navegador del usuario, como se puede ver a continuación:


if (navigator.systemLanguage=='zh-cn')
{}
else
{
document.writeln("{iframe con página maliciosa}");
}


La primera línea de este script chequea si el lenguaje del sistema es 'zh-cn', y si es así, no hace nada. Solo en los casos en que el lenguaje sea distinto a 'zh-cn', se intentará infectar el equipo del visitante. 'zh-cn' es el código que identifica al lenguaje Chino Simplificado.

Hay dos opciones respecto a esto:
  • Que el autor sea chino, utilice ese lenguaje en su equipo, y para hacer pruebas sin infectarse, desarrollara su amenaza para evitar afectar su equipo (menos probable)
  • Que el autor, sea chino o no, quisiera infectar a cualquier visitante, salvo a los chinos

De China es donde están viniendo la mayor cantidad de amenazas informáticas que aprovechan las técnicas de inyección de malware en páginas web. ¿Será esto una señal de que quieren infectar al resto del mundo menos a sus compatriotas? Esto es una especie de discriminación "racial" aplicada al malware...

"is"

2 comentarios:

Xyborg dijo...

Yo agregaria una opcion mas:
Los chinos son muchos y poco rentables en el "mercado". :P

Ignacio dijo...

¿Vos lo decís porque querían evitar un ataque DDoS contra el sitio alojando el malware? :-)