En este artículo os traemos otro ejemplo de web que en apariencia es totalmente confiable (ámbito educativo) pero que puede dar algún disgusto a sus visitantes, incluso sin el conocimiento de sus administradores.
Observamos un link sospechoso en una página web perteneciente al Board of Regents del Estado de Lousiana. Este link estaba compuesto por la parte principal del dominio, hxxp://regents.la.gov seguido de /wp-content/upgrade/<números>.exe, donde <números>.exe representa una serie de números aleatorios, seguidas de la extensión EXE.

Un vínculo de este tipo resulta sospechoso a primera vista de manera evidente. Las páginas web que directamente sirven archivos ejecutables sin ninguna otra información al respecto (hash, checksum, etc.) siempre son sujetos interesantes de análisis.
El archivo fue descargado y se observó que tenía un tamaño de 232448 bytes. Se ejecutó en un entorno dedicado para pruebas e inmediatamente observamos comunicaciones de internet sospechosas. Primero, se conectó a www.maxmind.com, que es un sitio web legítimo que ofrece infromación GeoIP. La petición y la respuesta la tenéis aquí, en esta imagen:

7 mayo, 2013






