Eliminar qzgxqt.com Ads Pop-ups en WordPress

El secuestrador de búsqueda Qzgxqt.com es un tipo de malware que puede afectar a sistemas WordPress y, en general, a cualquier navegador web utilizado para acceder a sitios web. Su modus operandi involucra la alteración de la configuración del motor de búsqueda predeterminado en el navegador de la víctima, redirigiendo las búsquedas a un motor de búsqueda específico que suele ser uno por el cual el atacante recibe pagos.

Malware WordPress
Notificaciones emergentes de Qzgxqt.com que parecen interferir con su sesión de navegación

Esto se hace sin el consentimiento del usuario y puede llevar a una experiencia de navegación altamente molesta y potencialmente peligrosa.

Qzgxqt.com Info

📝 Ficha con Información General del Malware:

  • Nombre: Qzgxqt
  • Tipo: Secuestrador de búsqueda y navegador
  • Objetivos: Altera la configuración del motor de búsqueda en el navegador, redirige búsquedas y puede exponer a los usuarios a sitios web maliciosos o no deseados.
  • Propagación: Suele infiltrarse en sistemas a través de descargas de software no seguras, extensiones o plugins maliciosos, o vínculos engañosos en línea.
  • Impacto: Provoca una experiencia de navegación molesta, puede poner en riesgo la seguridad en línea y la privacidad, y puede llevar a la penetración de otros programas maliciosos.
  • Prevención: Mantener el software y los plugins actualizados, evitar descargas sospechosas, utilizar extensiones de seguridad del navegador y realizar análisis de seguridad regulares.
  • Eliminación: Se requieren pasos específicos para eliminarlo de sistemas y navegadores, incluyendo la desinstalación de extensiones no deseadas y la restauración de la configuración del navegador. Se recomienda utilizar software antivirus o antimalware para buscar y eliminar cualquier archivo malicioso.

Eliminar qzgxqt.com Ads Pop-ups en WordPress

Durante mis experiencias como especialista en seguridad y desinfección de sitios web, he tenido la oportunidad de ayudar a varios clientes a recuperar sus sitios de ataques maliciosos. En algunas de estas desinfecciones, me he encontrado con situaciones donde el código malicioso se ocultaba en archivos inesperados, lo que planteaba un desafío adicional para garantizar una limpieza completa.

Código malicioso que redirigen a qzgxqt.com

Este código PHP es malicioso y representa un intento de ataque para tomar el control de un sitio web y ejecutar código malicioso en el servidor.

El código que proporcionaste parece tener características que lo hacen sospechoso y potencialmente malicioso debido a su comportamiento

Analicemos paso a paso lo que hace este código:

  1. Se define una variable $t que se construye concatenando varias cadenas para formar la palabra «error_reporting». Posteriormente, se llama a la función resultante con el parámetro 0. Sin embargo, esta función no se define en el código proporcionado, lo que sugiere que puede estar utilizando una función oculta o posiblemente maliciosa.
  2. Se obtiene el directorio temporal del sistema utilizando sys_get_temp_dir() y se almacena en la variable $a.
  3. Luego, el código verifica si existe una variable POST llamada 'bh'. Si es así, se compara el valor de esta variable con un hash MD5 específico: "8f1f964a4b4d8d1ac3f0386693d28d03". Si el valor coincide, continúa con la siguiente acción.
  4. Si la condición anterior es verdadera, el código toma el valor de la variable POST ‘b3’ y lo decodifica usando base64_decode().
  5. Luego, escribe el contenido decodificado en un archivo llamado "tpfile" en el directorio temporal del sistema utilizando file_put_contents().
  6. Después, se incluye el contenido del archivo «tpfile» utilizando @include(). Esto podría permitir que se ejecute código malicioso contenido en el archivo «tpfile».
  7. Finalmente, si existe una variable POST llamada ‘tick’ o una variable GET llamada ‘tick’, el código imprime el hash MD5 de «885» utilizando echo md5('885'). Esto podría ser un intento de verificar si ciertos parámetros se han enviado correctamente.

En resumen, este código malicioso intenta obtener acceso al servidor y ejecutar código oculto en el directorio temporal del sistema utilizando variables POST específicas y comparando hashes MD5. La inclusión de archivos a través de @include() también podría abrir la puerta a posibles ataques de inclusión de archivos y ejecución de código arbitrario.

Si encuentras este código en tu sitio web, es esencial eliminarlo inmediatamente y revisar todos los archivos y entradas del sitio en busca de actividades sospechosas. Además, asegúrate de mantener todo el software actualizado y aplicar buenas prácticas de seguridad para proteger tu sitio contra posibles vulnerabilidades y ataques.

Enlaces maliciosos que redirigen a «qzgxqt.com»

En varios casos, el código malicioso se escondía en archivos de temas de WordPress, como en los archivos PHP de los temas o en archivos de plantillas como header.php y footer.php. También me he encontrado con situaciones en las que los atacantes aprovechaban vulnerabilidades en archivos de plugins para insertar scripts maliciosos.

Además, los archivos de carga, como imágenes y archivos adjuntos, también han sido utilizados por los ciberdelincuentes para disfrazar el malware y evadir la detección. Otro lugar común donde se encontraba el código malicioso era en archivos de configuración, como wp-config.php, que son críticos para el funcionamiento de WordPress.

Otros lugares donde se encontraba el código malicioso es en la carpeta /wp-content/uploads/:

  • /wp-content/uploads/wp-log-1EN4Eq.php
  • /wp-content/uploads/wp-log-D7Rp3D.php
  • /wp-content/uploads/wp-log-jreSdV.php

Si tienes sospechas de que tu sitio WordPress está siendo afectado por malware o que hay enlaces maliciosos que redirigen a «qzgxqt.com», te recomiendo que tomes las siguientes medidas:

  • Escaneo de seguridad: Utiliza un plugin de seguridad confiable para WordPress y realiza un escaneo completo de tu sitio para detectar y eliminar posibles malware o código malicioso.
  • Actualizaciones: Asegúrate de que WordPress, los temas y plugins estén actualizados a la última versión, ya que las versiones desactualizadas pueden ser vulnerables a ataques.
  • Contraseñas seguras: Utiliza contraseñas fuertes para todos los usuarios y evita el uso de contraseñas predeterminadas o débiles.
  • Revisiones de código: Revisa el código de tu sitio web y elimina cualquier script o enlace desconocido que pueda estar relacionado con «qzgxqt.com».
  • Revisiones de plugins y temas: Verifica que los plugins y temas que utilizas sean de fuentes confiables y estén actualizados regularmente.
  • Eliminación de enlaces maliciosos: Si encuentras enlaces sospechosos a «qzgxqt.com», elimínalos de tu sitio web y asegúrate de que no haya redireccionamientos no deseados.

En caso de que las sospechas de malware persistan o necesites asistencia adicional, considera contactar a un especialista en seguridad de WordPress o un profesional en ciberseguridad para que te ayude a limpiar y proteger tu sitio web. Siempre es importante mantener la seguridad de tu sitio web y tomar medidas preventivas para evitar problemas de seguridad en línea.

Servicio de Desinfección de WordPress

Si sospechas que tu sitio web ha sido comprometido con el malware «qzgxqt.com» u otro tipo de malware, puedo ayudarte a tomar medidas inmediatas para limpiar y proteger tu sitio. Esto puede implicar el escaneo y la eliminación del malware, así como la implementación de medidas de seguridad adicionales.

CONTACTO