La distribución de amenazas sigue creciendo y sus creadores utilizan casi todos los medios a su alcance para que ello suceda. En los últimos se ha observado un incremento de servidores legítimos que han sido comprometidos y alterados maliciosamente.

De acuerdo con el ISC (Internet Storm Center) del Instituto SANS, servidores cuya seguridad no estaba bien implementada, fueron vulnerados y sus archivos de control modificados. Se especula conque los atacantes se hayan aprovechado de vulnerabilidades ya publicadas, que no fueron corregidas en los equipos.

Las páginas hospedadas no contendrían ningún código malicioso en si mismas, sin embargo la alteración en los archivos de control afectaría los resultados de las búsquedas realizadas con Google, AOL, MSN, Altavista, Ask y Yahoo!, desde la página visitada, de tal modo que una solicitud a una página inexistente no mostrará un código de error, sino que redigirá a un sitio malicioso.

El problema también afectaría a cualquier robot en el servidor comprometido, que tenga interacción con solicitudes de páginas web.

En algunas ocasiones fueron los propios visitantes que alertaron a los administradores de que el sitio no se comportaba normalmente, y que en forma aleatoria ofrecía la instalación de un falso antivirus, alegando que el usuario utilizaba un ordenador infectado con muchos malwares.

Cualquier acción para cancelar el peligroso ofrecimiento, cerrar la ventana o simplemente recargar la página, provocan la descarga de un archivo malicioso en forma automática.

Se recomienda a los administradores de sitios webs que revisen sus sistemas, al igual que los directorios y subdirectorios buscando archivos alterados, especialmente aquellos que procesan directivas en forma automática.

La mayoría de los sitios fue comprometido alterando los ficheros ".htaccess". Este tipo de archivo contiene ordenes y directivas para que el servidor controle todas las solicitudes que un visitante realiza.

La táctica realizada por los atacantes es colocar estos archivos, ".htaccess" en todos los directorios que existan en el servidor, asegurándose que cualquier visitante pueda resultar infectado simplemente al visitar la web.

En algunos casos, se ha podido comprobar que la ventana que ofrece el falso antivirus no aparece en todas las ocasiones, sino al azar.

Las imágenes que muestra la ventana emergente, son animaciones que simulan una revisión del ordenador por parte del falso antivirus, aún cuando no se le haya solicitado esa tarea. Además, se trata de un software de origen desconocido, el cuál no ha sido instalado previamente por el usuario. La víctima de este engaño, en realidad estaría instalando un malware que terminaría tomando el control del sistema.

Cuando sucede algo así (un software desconocido informa de una posible infección), muchas personas olvidan que si ya tienen instalado un programa de protección, no es aconsejable la ejecución de otro, porque esto suele ocasionar conflictos e inestabilidad en el sistema. Y mucho menos cuando esto se hace sin su permiso.

Como la línea divisoria entre los sitios no seguros y los seguros se ha vuelto tan difusa, se recuerda a los usuarios la importancia de mantener actualizado todo el software de su ordenador, incluyendo el antivirus ya instalado, para navegar tranquilamente por Internet.

Fuente