martedì 24 giugno 2008

Aggiornamento siti e pagine .IT con scripts Asprox botnet 24/6

Sempre moltissime le pagine anche di siti .IT che continuano a presentare i segni degli attacchi piu' o meno recenti connessi alla botnet Asprox.

Come si vede i principali motori di ricerca presentano numeri elevati di pagine .IT con lo script ormai noto b.js



Anche se il numero di risultati va' sicuramente filtrato da quelli appartenenti a siti ormai bonificati e da quelle pagine che contengono nomi di scripts uguali a b.js ma che hanno diverso contenuto si notano ad ogni ricerca scripts con nuovi links a recenti domini Asprox

Entrando nel dettaglio si puo' dire che, ad esempio, alzhead(dot)com apparso di recente sembra comparire su pagine che in precedenza non erano state evidenziate come colpite

Ecco alcune pagine di siti appartenenti ad aziende (es .nota casa editrice) oppure a siti di Amministrazione Pubblica con la presenza di alzhead(dot)com


ed anche

a volte in compagnia di numerosi altri domini Asprox

Queste alcune pagine che presentano i links tramite b.js ad altri recenti domini Asprox


A titolo di curiosita', un test eseguito con Virus Total sui sorgenti di due pagine ricche di scripts pericolosi che tentano di reindirizzare sui siti contenenti malware porta a questi risultati

mentre anche un test eseguito sul codice di alcuni domini Asprox presenta pochi positivi

Analizzando invece il contenuto di uno degli scripts b.js Asprox, il riconoscimento migliora pur rimanendo, in ogni caso, limitato a pochi softwares AV.

Edgar

5 commenti:

Francesco Cassini ha detto...

OT: ciao, scusa se ti disturbo su un post che c'entra relativamente poco col problema che stai affrontando, ma non so a chi rivolgermi.
Sono almeno due settimane che alcuni lettori del mio blog mi segnalano un problema di "JavaScript.CodeUnfolding.gen" che blocca la lettura del mio blog. Io purtroppo non so dove mettere le mani perché uso diversi javascritp (mootools e lightbox), ma sono più o meno sicuro rispetto a tutti quanti (molti sono inclusi in plugin famosissimi di WP). Possibile che il fatto di averli compressi faccia scattare l'allarme degli antivirus?
Potresti darmi una dritta?
Il mio blog è www.kagliostro.net

PS: in caso posso contattarti in privato?
Ciao e scusa per il disturbo!

Edgar Bangkok ha detto...

Premetto che non sono pratico di Wp e codici collegati ma in ogni caso e' abbastanza facile analizzare il codice contenuto nel blog.
Una prima prova e' stata fatta dando il sorgente del blog in 'pasto a Virus Total' per capire il problema e gia' qui Webeasher gateway ha dato il positivo come "JavaScript.CodeUnfolding.gen .
A questo punto isolando il codice java ed esaminandolo con VT il risultato e' stato che anche Clam AV ha rilevato un malware di tipo JS PACKED

Dando una occhiata piu' approfondita al codice del blog risultano presenti 2 funzioni PACKER ed in particolare la newmootools.js che appare positiva come codice pericoloso ad analisi Virus Total
Questo si spiega con il fatto che la maggior parte del malware utilizza per diffondersi funzioni script java offuscate di solito, per le piu' semplici, con l'utilizzo di una codifica piu' o meno complessa che utilizza appunto un sistema simile (funz eval()) presente anche nelle due packer.
In questo caso probabilmente abbiamo falsi positivi dovuti all'uso di questi codici fermo restando che vanno comunque ricontrollati i codici delle due funzione per vedere che siano state inserite correttamente e non modificate in seguito da qualche tentativo d'attacco ma mi pare piuttosto improbabile.

Una soluzione potrebbe essere quella di non utilizzare funzioni packer o comunque verificare con Virus total inviandogli il sorgente delle funzioni che si usano, se eventuali falsi positivi siano presenti nel codice dopo le eventuali modifiche.

Tra l'altro stranamente pare che web washer identifichi il problema quando si passa il codice sorgente su file con estensione .js mentre per file .txt stesso source non dia positivi.

Edgar

Francesco Cassini ha detto...

GRAZIEEEEEEEEE!!!
Proprio come sospettavo (ma non sapevo dove mettere le mani!): l'aver incluso tutto nel pacco mootools (compresa anche la lightbox) fa "esplodere" gli antivirus.
Credo proprio che adesso darò una bella ripulita (tanto le mootools adesso le utilizzo solo per quella simil barra mac osx che manco è attiva).

Ti ringrazio tantissimo dell'aiuto perché con queste cose non sai mai dove andare a parare!!!
GRAZIE!

Unknown ha detto...

Ciao ho letto con interesse il tuo articolo sugli script Asprox, mi è capitato che il mio sito se lo è beccato.uso sql server. Esiste uno script t-sql per ripulire il db? oppure dove trovo un elenco dei donimi/tag che vengono inseriti per poterli poi levare con una procedura apposta? grazie

Edgar Bangkok ha detto...

Ho pubblicato oggi sul blog un post con alcuni indirizzi di siti dove compaiono liste di domini Asprox abbastanza aggiornate.(escono nuovi domini ogni giorno)
Di solito questi nomi di dominio compaiono nello script che contiene il link a b.js.
Non conosco se esista un tool per ripulire il sito da eventuali scripts ma penso che la soluzione migliore, se si dispone di un backup aggiornato, sia ripristinare la situazione precedente all'attacco.