Motivo: el objeto está infectado HEUR:Trojan.Script.Redirector.gen

[IESSP SAN MARCOS]

Buen día, para comentarles que nuestros estudiantes advierten que nuestro sitio web institucional está infectado y bloquea su acceso, ¿pueden ayudarnos por favor?

 

Revise el sitio web con su portal de inteligencia sobre amenazas y aparentemente no hay nada

https://opentip.kaspersky.com/?tab=web

 

informe:

Impidió la descarga de un objeto peligroso

Impidió la descarga de un archivo malicioso u otro objeto diseñado para infectar su equipo con malware que puede ralentizar su PC, dañar el sistema o generar otros problemas.

La seguridad de Kaspersky le impidió descargar este objeto. Puede cerrar esta ventana sin ningún riesgo.

Detectado el 18/10/2023 08:04:42 a. m.

Dirección web: https:// eesppsanmarcos. edu . pe/

Motivo: el objeto está infectado HEUR:Trojan.Script.Redirector.gen

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

La detección es de tipo Heurístico, es por eso que seguramente no aparece en el servicio KOTIP ni tampoco en Virus Total:

 

https://www.virustotal.com/gui/url/99e1564e746dad5eabd8620e35419b5277abc41c6a9ce145cf5aedd0eee1bc78?nocache=1

 

Acabo de reportar la detección a los analistas de Kaspersky, publicaré aquí el veredicto final.

 

Saludos.

[IESSP SAN MARCOS]

Gracias

espero la respuesta

 

[harlan4096]

Contestación de los analistas:

 

Quote

 

Hello,

This is not a false alarm. This site is infected.

 

Here is the malicious code:

 

<script>document.write(String.fromCharCode( .....    ));</script>

 

If you are a webmaster, please remove the above code from the page. Also we strongly recommend that you change passwords to all services that can be used to modify website contents because they may have been stolen.

 

Best regards, Malware analyst, Kaspersky Lab
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

 

 

[IESSP SAN MARCOS]

ayuda para poder eliminar este virus

 

[harlan4096]

En el post anterior se indica el código que debéis eliminar, no podemos hacerlo nosotros, ya que es código infectado en vuestro servidor, en el código de vuestra página Web.

 

Tenéis que revisar todo el código HTML y demás archivos de vuestro site, en busca de esta cadena:

 

<script>document.write(String.fromCharCode( .....    ));</script>

 

Puede que esté insertado en varios sitios, así que revisarlo completamente.

 

Obviamente, el script no está entero, ya que en (........) omitieron el código malicioso para no publicarlo en el foro.

 

Saludos.

[harlan4096]

MUY IMPORTANTE TAMBIÉN ESTO QUE OS COMENTAN LOS ANALISTAS DE KASPERSKY:

 

Quote

If you are a webmaster, please remove the above code from the page. Also we strongly recommend that you change passwords to all services that can be used to modify website contents because they may have been stolen.

[Vimaro]

Gracias por los mensajes.

Consultado el sitio afectado en nuestros sistemas, se identifica direccionamiento a la siguiente dirección IP que es la realmente maliciosa:

De ahí que cobre relevancia la recomendación de nuestros moderadores, en el sentido de revisar en el servidor que aloja el sitio en busca de los objetos maliciosos y eliminarlos respectivamente.