Investigando que es gerundio: hoy hemos intentado revisar el trabajo de un cliente y nos hemos llevado la desagradable sorpresa de que el sitio web en cuestión no carga y muestra una ventana en blanco donde antes había animaciones y los típicos fuegos artificiales desarrollados en Flash. Como somos de naturaleza curiosa tanto @emper como yo, no podíamos dejar pasar la oportunidad de revisar un misterio como este.
Resumiendo, este ha sido el proceso: lo primero que hemos hecho es mostrar el código fuente de la página en blanco, después hemos decodificado un código HEX->ASCII generado en tiempo real mediante un código javascript, después hemos decodificado un nuevo código URL->ASCII generado por el javascript decodificado en el paso anterior para, por fin, descubrir una url final de un proceso PHP que se actualiza obligatoriamente en cada visita y cuya función aparentemente es la de abrir un iframe con la página de búsqueda de Google, proceso contenido por cierto en un servidor llamado homesy.net que, como no podía ser de otra manera en vista de lo enrevesado del misterio, se muestra como contenedor de código malicioso en Norton Safeweb. En vista del resultado y tras un par de whois, todo apunta a que la password del ftp ha volado y un grupo tailandés comandado por un francés que poseen un servidor letón se han hecho con el control del sitio del cliente.
El código, a priori malicioso, es detenido con seguridad en Safari 4 bajo Mac OS X debido a que el origen y el destino de la llamada utilizada por los protocolos no se corresponden, tal y como muestra la ventana de alerta del depurador de código incluido, pero me temo que Internet Explorer no correrá la misma suerte…
