sabato 16 febbraio 2008

Come i parassiti. (un'altro sito A.P. con link malware incorporato)

Il parassitismo è una forma di simbiosi, ma a differenza della simbiosi propriamente detta (s. mutualistica), il parassita trae un vantaggio (nutrimento, protezione) a spese dell'ospite creandogli un danno biologico. Le proprietà che identificano in generale un rapporto di parassitismo sono le seguenti: * Il parassita è privo di vita autonoma e dipende dall'ospite a cui è più o meno intimamente legato da una relazione anatomica e fisiologica. * Il parassita ha una struttura anatomica e morfologica semplificata rispetto all'ospite. * Il ciclo vitale del parassita è più breve di quello dell'ospite e si conclude prima della morte dell'ospite. Il parassita ha rapporti con un solo ospite. A sua volta questi può avere rapporti con più parassiti. (fonte Wikipedia)

Anche se il danno principale per l'ospite, nel caso che vedremo potrebbe essere solo di immagine, mi pare che le analogie con la descrizione di Wikipedia di un parassita rispetto a quello che vedremo ci sono tutte....

Sembra che da qualche tempo, stia aumentando la tendenza a mascherare link o pagine con link a malware all'interno di siti, che per loro natura (amministrazione pubblica) dovrebbero essere insospettabili.
Il salto di qualita' riguarda il modo con cui sono hostati i link nei siti; qui non siamo piu' di fronte a forum o guest books con link aggiunti da anonimi visitatori ma vere e proprie compromissioni di sito con relativo codice inserito al suo inteno.

Come visto nell'ultimo post, dove era presente una pagina che linkava a contenuti random (siti rogue application, malware, movies a contenuto porno ecc...) , questa volta analizziamo il sito del comune pugliese di Aradeo che parrebbe avere qualche problema ...

Questa e' la home page di Aradeo, comune del Salento in provincia di Lecce.
Come vediamo il sito sembra aggiornato con notizie attuali

Ed ecco cosa succede da una ricerca in rete

Dobbiamo riconoscere che attualmente i motori di ricerca svolgono un utile supporto a chi si interessa di malware e problemi collegati
In questo caso si vede che nel sito del Comune e' presente del codice jsp che, come si puo' immaginare anche dal nome, linka attraverso alcuni reindirizzamenti a sito porno con relativo malvare.

Intanto. c'e' da dire che, proprio come certi parassiti cercano di occultarsi, questo codice e' programmato in modo da funzionare solo se lo si richiama da una ricerca in rete e non direttamente interrogando il link con il browser. (uso di referer)

Qui vediamo alcuni particolari che risultano dall'uso del tool wgetgui
ed ecco il log ottenuto da wgetgui in dettaglio

Notiamo che si viene reindirizzati con qualche passaggio sulla pagina pornotube


che distribuisce malware abbastanza pericoloso dato che risulta costantemente aggiornato nel codice e poco rilevato dal software antivirus.
Questa una analisi con Virus Total

Veramente pochi i softwares che rilevano il pericolo.

Concludendo sembrerebbe che stia aumentando la quantita' si siti, in questo caso di Comuni, che ospitano link, pagine o codici che reindirizzano su siti con malware.
Probabilmente i vantaggi, per chi esegue questi tipi di operazioni sono la possibilita' di avere links hostati in maniera abbastanza nascosta ed inoltre il fatto che, a quanto pare, molti dei siti dell'amministrazione pubblica dimostrano una bassa qualita' nei controllo da parte di chi li gestisce garantendo l'hosting per i malintenzionati, esente da qualunque problema.

Edgar

Nessun commento: