Las últimas semanas un Malware/Virus de nombre “Gumblar” ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web. Según ScanSafe han detectado incrementos de la cantidad de dominios infectados de un 66% diario y hasta un 180% entre semanas durante Mayo.
¿Qué hace este Virus ?
El código de Gumblar tiene como objetivo modificar las páginas de resultados de búsquedas en Google de los usuarios infectados, reemplazando los links por enlaces a más código malicioso.
Adicionalmente, roba los datos de usuario / clave FTP existentes en la pc para continuar propagando la infección, y abre una conexión de control contra un tercero que potencialmente da acceso a ciertos controles sobre la pc infectada sin conocimiento del usuario, para armado de Botnets.
Mi sitio está infectado: Google me marca como sitio con contenido Malicioso
El virus no se propaga vía XSS, sino modificando archivos vía FTP a través de datos de usuario/clave obtenidos con el malware. Si tu PC o cualquier PC con acceso FTP a tu sitio está (o estuvo) infectada, estás en riesgo de sufrir una inyección de código.
Si tu sitio está infectado, podés limpiarlo de la siguiente forma:
1. Manualmente: Eliminar las etiquetas de <SCRIPT> … </SCRIPT> con el código malicioso de todos tus archivos .htm, .php, .asp, etc. Aquí hay indicaciones de como identificarlo en concreto (en inglés), aunque cualquier Webmaster con conocimientos de HTML puede detectarlo fácilmente con solo mirar el código HTML.
2. Automáticamente: Restaurar el sitio a una versión no infectada utilizando la herramienta de SnapShots del Panel de Control. Si el sitio fue infectado en los últimos 10 días, vas a tener una copia sana de tus datos.
3. Subir nuevamente el sitio: Desde una copia local del mismo. Pero ojo! Si el sitio está infectado es muy probable que sea tu misma pc (o la de tu diseñador) que infecte los archivos al subirlos.
Una vez actualizados los contenidos te recomendamos analizar el sitio con esta aplicación, para confirmar que no hay más infección a la vista. También ejecuta un antivirus, lo más actualizado posible, sobre tu pc. Recomendamos utilizar el Malwarebytes que detecta este virus.
Y más importante aún, cambiar todas las claves de acceso FTP a tu sitio. Ya sea que las tengas en tu PC o en las de un tercero, las claves son enviadas por el virus a desconocidos que luego hacen las modificaciones. Por más que tu PC ya esté limpia, seguís en riesgo de infección hasta tanto no cambies tus claves de FTP.
Si la infección es reciente, puedes ver los registros de acceso FTP desde tu Panel de Control para ver exactamente desde dónde, con qué usuario y qué archivos fueron modificados.