Hace 5 minutos estaba navegando felizmente por la página de MARCA cuando al entrar en la página de mi equipo (Si, es importante saber de que equipo soy :P) Barcelona, me salta el NOD32 con una alerta de malware en una parte de los anuncios que utiliza la página, concretamente dentro de un javascript.
La verdad es que cuando me salio no pensé en postearlo y lo primero que hice fue bloquearlo y seguir a mi ritmo, entonces fue cuando decidí hacer un ctrl + f5 de la página para ver si realmente era la página (lo era, me marcaba la dirección y el lugar del javascript) y quitarme las dudas, entonces me saltó otra vez. Lo volví a bloquear.
Pasaron unos minutos y pensé que sería importante advertirles de dicho javascript entonces decidí acudir a los registros del NOD32 para ver la información del malware, esta alojado en:
hxxp://ds.serving-sys.com/BurstingCachedScripts/ebBannerMain_62_36.js (recomiendo no clickear)
e infectado con el archivo
JS/Tivso.14a.gen trojan
Me dispongo a buscar en Google más acerca de este troyano solo encontrando 2 páginas webs que mencionan el archivo, eso me hace pensar dos cosas:
1) El malware es muy nuevo y no es conocido aún
2) NOD32 se rayo y no era malware? <– dudo seriamente de esta opción
Curiosamente, uno de los resultados de Google menciona que la página de Telecinco tiene malware. Como se puede comprobar su entrada es de hoy por lo tanto me parece que si me tengo que decantar por una de las opciones anteriores ya estoy seguro de quedarme con la primera opcion.
Recomiendo a todos que actualizen sus antivirus y que tengan cuidado, si es necesario desactivar Javascript.
Actualización: en menéame también afirman que los anuncios de El Mundo, ABC y páginas mas conocidas tienen malware.
No tengo ni idea como se puede colar un javascript de esa forma, pero por el nombre yo intuyo que tiene algo que ver con la publicidad (afiliados/sponsors) de las páginas. Dado que cuando se inserta publicidad en las páginas muchas veces es con Javascript (veasé Google Adsense, programas de afiliados, etc.)
Supongo que en menos de 2 días habrá una noticia de alguna página importante explicando el porqué.
Actualizacion 01/07: Solucionado