Mais de cinco milhões de sites hospedados pela Network Solutions estão servindo malware há meses, disse um expert de segurança na quarta (16).

“Esta é uma das maiores infecções de ‘drive-by download’ (download automático) que já vi”, disse Wayne Huang, co-fundador da empresa de segurança online Armorize Technologies.

A Network Solutions disse que a conta de 5 milhões de sites é exagerada, mas não divulgou um número.

Huang disse que os pesquisadores de sua empresa inicialmente rastrearam a origem das infecções como sendo um widget instalado pela Network Solutions em seu site GrowSmartBusiness.com, mas depois descobriram que o mesmo widget estava disponível, por padrão, em todos os domínios “estacionados” nos servidores da empresa.

Esses domínios são aqueles registrados, mas sem conteúdo. Os criadores de malware e scammers (golpístas) usaram esses sites “em construção” para espalhar código malicioso ou turbinar artificialmente rankings em mecanismos de busca para fazer os internautas visitarem esses endereços.

“A maior infecção que me lembro foi de 1 milhões de páginas”, disse Huang. “Essa é muito maior”.

O widget fez de cada domínio infectado um site que lançava um ataque com o código “Nuke” contra usuários rodando Internet Explorer, Firefox, Chrome e Opera. Se o malware conseguisse hackear o browser, ele baixava um trojan.

Vários antivírus reconheciam o vírus como uma variante do “Koobface”, um worm mais conhecido por atacar usuários do Facebook.

Huang disse que os atacantes ganhavam dinheiro exibindo propaganda nos micros infectados, e então espalhando o malware por meio dos programas de P2P instalados na máquina do usuário.

Usando vários mecanismos de busca, Huagn estima que o widget apareceu em algo entre 500 mil e 5 milhões de sites. Mas ele aposta no número maior. “Serviços de busca não são bons em achar sites ‘em construção'”, disse.

Embora a Network Solutions tenha desabilitado o widget dos sites parados e tirado o GrowSmartBusiness.com do ar, o aplicativo permanece em cerca de 5,700 sites ativos que o instalaram manualmente.

“Se você baixou o widget GrowSmartBusiness em seu site, recomendamos que o apague e procure por código malicioso em sua página”, disse a Network em comunicado.

Huang disse que o problema começou em maio, quando a Armorize alertou sobre um site hospedado na Network Solutions que estava abrigando malware. À época, os pesquisadores não detectaram o tamanho da infecção.

É possível que as múltiplas infecções na Network Solutions estejam relacionadas. Em abril, a empresa de hosting teve um problema em larga escala com os blogs da plataforma WordPress, e em janeiro centenas de sites que hospeda foram vandalizados.

“Se esses eventos estão relacionados, em algum momento de abril esse grupo de cibercriminosos decidiu aumentar seu controle sobre a Network Solutions, e injetaram conteúdo malicioso maciçamente não somente nos sites parados, mas também nos blogs WordPress”, afirma o especialista.

Fonte: http://idgnow.uol.com.br/seguranca/2010/08/17/malware-pode-ter-contaminado-5-milhoes-de-sites-em-servico-de-hospedagem/