SpippolAzione.net

Figuratevi questa scena: arriva una e-mail (evidentemente fasulla) da un conoscente, dove, con una filippica in perfetto italiano segno che l’autore è un compatriota, ci viene spiegato come ha scoperto di avere un virus terribile, potentissimo e ovviamente sconosciuto che si trasmette per la chat di facebook, per collegamenti diretti (?) e perfino nascosto in mp3 e jpg (ENORME bufala) ed è stato in contatto con Symantec per alcuni giorni e che assieme (?) hanno debellato l’infezione e a giorni sarebbe stato rilasciato un tool che pulisce dal trojan in questione al pubblico.

Di questo fantasmagorico tool ovviamente ci fà omaggio in privato allegandolo all’e-mail.

Una persona con un minimo di pelo sullo stomco si insospettisce, voi che dite ?

Il tool di cui allegato all’email alla fine si rivela un vero tool che cerca un trojan, ma di un tipo straconosciuto vecchio di 5 anni, che nel contempo si spacchetta un pò di cose in una cartella temporanea, e con dei programmi che si è portato da casa, si colleziona tutte le password possibili da Thunderbird, Firefox, Explorer, Chrome etc etc, le impacchetta in un file .rar, le uppa su un ftp e infine cancella ogni traccia, anzi, QUASI ogni traccia, perchè lo script non è perfetto…

Due problemi: i tool di collezione password un antivirus appena decente li vaporizza prima che tocchino il disco fisso, inoltre user e password di accesso all’ftp brillano in bella mostra dentro un batch in chiaro, camuffato grezzamente in .DLL.

Ma come la vedete voi una dll di 60 bytes ? Poco plausibile vero ?

La prima cosa che verrebbe da fare a me, poi ogniuno la vede come vuole, sarebbe cambiare la password del sito ftp, per esempio se il sito in questione fosse su altervista dove si usano le stesse password per l’account di gestione e per l’ftp sarebbe banale cambiare le password di accesso almeno cosi questo rozzo script viene reso immediatamente inoffensivo, poi vediamo con calma, venerdi sera al bar parlerei di questo fatto con un amico avvocato al quale chiederei se e come sporgere denuncia alla PolPost, se non ricordo per cose di questo genere sono previsti un paio d’anni di galera.

Il sito ftp lo lasciamo intatto, è bene che rimanga dov’è quando la Polizia Postale farà le debite indagini, così il legittimo padrone può riprendersi l’account quando vuole, usando il recupero password, che volutamente lasciamo al suo posto, giusto per fargli capire che lo hanno sgamato, tanto la vecchia password non la rimette, noi siamo in agguato, vero ?

Ciliegina sulla torta, facendo una piccola ricerca magari potremmo anche trovare una richiesta sul forum di help-desk del provider, quell’altervista di esempio, dove qualcuno chiede come fare uno script per fare  upload in automatico sul loro ftp, toh, guarda caso, proprio di quel sito, e qui pensi: “Vai, giovane uomo, Gesù ti ama…”

Leggendo su tomshardware qui

si scopre che qualcuno ha creato un trojan che blocca i programmi di download via torrent.

Senza entrare nel merito di chi è stato e perchè, ma è facile immaginarlo, per avviare a questo blocco cosa basta andare a prompt dos e digitare il comando:

attrib +r +h +s %SystemRoot%\system32\drivers\etc\hosts

Cosi’ facendo, visto che il blocco dei tracker viene fatto lavorando sul file hosts, il file suddetto viene reso non modificabile e ciao ciao al trojan.

Poi aggiornate l’antivirus e fate pulizia. Ovvio che, come al solito, linux è immune

Sembra siano MILIONI i siti web compromessi da un attacco massivo sql injection che inseriscono codice malevolo nelle pagine web scritte male, ma solo quella fatte in ASP (il linguaggio di scrit della piattaforma Microsoft) che così modificate scaricano un trojan sui pc degli ignari naviganti.

Se cercate con Google le stringhe www.nihaorr1.com/1.js, www.adw95.com/b.js o www.banner82.com/b.js riceverete di ritorno una marea di siti divisibili in due categorie: quelli che parlano dell’infezione, una piccola parte del totale, sono sopratutto forum di programmazione ASP, e quelli che hanno il trojan installato che pur essendo invisibili al browser del comune mortale, non sfuggono all’occhio vigile dell’indicizzatore di Google.

Il software malevolo non è caricato direttamente sul sito compromesso, ma fà i modo che in ogni pagina che viene visitata sul sito oggetto dell’attacco venga fatto aprire dal browser del navignate un frame invisibile che punta ad un sito remoto, uno dei tre suddetti per esempio, è lui che si fà carico di scaricare sul pc della vittima il virus vero e proprio.

A parte una ripulita ed una migliore scrittura del software da parte di chi fa’ siti web, il primo tampone che mi viene in mente e’ di inserire, sia nei siti web che sui client degli utenti, nel file hosts (c:\windows\system32\drivers\etc\hosts) una voce che indirizzi i siti malevoli a qualcosa di innocuo, come localhost, inserendo infatti una cosa tipo:

www.nihaorr1.com 127.0.01
www.adw95.com 127.0.01
www.banner82.com 127.0.01

di modo che i siti in oggetto non siano piu’ raggiungibili.

Ovvio che basta che all’attaccante usi un nuovo sito web nel trojan e siamo punto a capo, quindi la migliore soluzione è quella di utilizzare un antivirus valido.

La cosa da brivido e’ che i siti compromessi sono veramente tanti, e molti sono anche italiani, facendo una ricerca con google si trovano siti istituzionali (comuni e province), siti privati e di e-commerce, e addirittura negozi di computer, questo la dice lunga sulla scarsa attenzione che che sviluppa siti web dinamici, presta alla sicurezza.

La mia speranza è che, visto che l’archivio dei siti di Google non è aggiornato in tempo reale, molti di questi siti compromessi siano già stati sistemati.