Promoción de sitios con un troyano

27/08/08

Recientemente noté que mis visitas diarias en uno de mis sitios se habían quintuplicado de golpe. Luego de la satisfacción inicial por el reconocimiento a la calidad de mis artículos, algo llamó mi atención: Los temas pedidos no tenían nada que ver con mi temática, promoción de sitios. Pedían recetas de comidas y tragos, porno, etc. Y cuando uno visitaba las páginas, que no habían sido publicadas por mí, un malware trataba de vender por la fuerza un producto anti-spamware.

Alarmado, empecé a recorrer mis sitios con FTP, y noté una cantidad de archivos que no habían sido publicados por mí, y que correspondían a fechas de entre el 7 y el 15 de este mes. Rápidamente hice un chequeo antivirus online con Bitdefender o alguno similar, limpié mi máquina y repuse los archivos originales en los dominios. La infección seguramente subió archivos a través de mi PC, porque abarcaba varios servidores distintos, de sitios que eran accesibles por mi FTP.

La limpieza no fue fácil. Salvo la fecha, no había nada para guiarme. Muchos archivos míos habían recibido una inyección de código al final, en Javascript, con links, y no eran detectables desde el explorador. Por lo tanto, los archivos con fecha sospechosa fueron sobreescritos. Otros archivos tenían nombres similares a los ya existentes, y los contenidos mezclaban contenido original mío con otro proveniente de recetas de comida francesa de quebec, en inglés… Y muchos links hacia el malware que extorsiona a que lo compres. Ojo! No entrar sin tomar precauciones, tiene un javascript malicioso: está basado en www.adware-spyware-removal.co.cc.

No aconsejo a nadie comprar un producto anti-virus hecho por fabricantes de virus. Es ceder ante la extorsión y puede tener un virus aún peor.

Antes de limpiar, me bajé una carpeta con archivos infectados para analizarlos. Los abrí primero con Notepad para limpiar el Javascript, o desde el cache de Google con la opción Sólo Texto. También le agregué rel=”nofollow” a la infinidad de links que tiene para evitar perder PageRank. Tengo archivadas la página con contenido adulterado y otro ejemplo de página generada propiamente por el virus.

El javascript que saqué está ofuscado (enrevesado para que no se entienda) y luce algo así como:

script language=”javascript”>function not(kf,cybf){if(!cybf){cybf=’+=ETxNe0C etc.

Las páginas enlazan a otras infectadas por el mismo agente, lo cual genera una gran red de páginas interconectadas que llevan mayormente el tráfico al sitio de venta de malware.

Pero lo interesante fue analizar los logs de mi servidor, y observar que el tráfico venía en parte de otras páginas infectadas, y en parte de los mismos buscadores. Los referrers eran Google y Live Search, las frases clave stuffed hot cherry peppers, o Recipe/Elderflower Punch, y mis páginas infectadas estaban en los primeros puestos.

Supongo que esos posicionamientos puedo mantenerlos, si subo una página limpia que reemplace a la anterior, y explico cual fue el problema. Pero no me interesan los buscadores de recetas exóticas, por lo tanto esperaré que los buscadores se cansen de encontrar error 404 y me den de baja.

Lo que si es interesante es la estructura de las páginas usadas para captar visitas a través de buscadores: mucho texto, generado por algún generador de texto y estructurado por algún generador de páginas con muchas palabras clave, enlaces intercalados con texto relevante, mucho H1, y nada de diseño ni imágenes. Cantidad (miles de páginas en un sólo directorio, decenas de nuevos directorios en cada sitio infectado) y no calidad (texto derivado de mezclar palabras y frases). Eso no importa porque son páginas dirigidas sólo al spider de los buscadores, y no las ve nadie porque el Javascript redirecciona al sitio malicioso.

La reflexión final es: Llevo años tratando de incluir algunos sitios en los buscadores y generarles visitas, y este maldito virus lo hizo en menos de 10 días, usando mi propio material y mis propios sitios web.

Creo que se puede aprender algo de e-marketing a partir de esta experiencia.