Infección usando cifrado cifrado clásico de Vigènere
Hace unas horas me avisa un cliente de que su web (un joomla instalado cuando Jordi Hurtado aún no presentaba Saber y Ganar, y que no se actualizó nunca) tiene un problema: cliques donde cliques en el contenido de la página, te muestra una retahíla de "medicinas" de esas azules que tanto alegran a los hombres.
El caso es que, como en casi todas las infecciones, lo primero que hago es mirar los archivos que se han modificado a partir de una fecha; suele ser lo más rápido y lo más habitual. Tras una búsqueda, veo que en la carpeta de las /librerías/ y en la /temp/, la que maneja la caché tiene dos archivos que no deberían estar ahí. Abro el código e inmediatamente veo que ese es el problema (bueno, y que todas las carpetas del web estaban a 777 de permisos, una barbaridad!).
Lo curioso del caso es que el archivo [html] tiene un aire "familiar" y enseguida caigo que "eso" que se vé ahí es una url, por el formato. Le aplico el cifrado de Vigènere sustituyendo letras del alfabeto por esas mismas letras... unas cuantas posiciones más allá, et voilá: esta url uggc://zrqvpvany-fcrpvnyvfg.pbz se convierte en esta otra http:// medicinal - specialist . com. El resto del código sigue el mismo patrón :D
A veces el tedioso trabajo de limpieza de infecciones tiene momentos divertidos como este ;)
