venerdì 4 aprile 2008

Quando l'hacking diventa pericoloso.

Tutti i giorni vengono compromesse centinaia di pagine web con varie tipologie di attacco.
Tra queste anche quelle su domini .it sono in buon numero, come si puo' vedere ricercando in rete siti su dominio .it con all'interno del codice della pagina frasi come “hacked by ....
Di solito pero' chi compromette il sito web si limita solamente a sostituire la homepage con una pagina ricca di proclami di vario genere,testi, foto ed anche files multimediali che dimostrano dell'attacco ma che in pratica si limitano solo a questo.

A volte invece capita che oltre che a lasciare un 'messaggio' vengano introdotti codici malevoli per compromettere il computer di chi suo malgrado finisce su un sito colpito da hacking.

Un esempio trovato in rete facendo qualche ricerca dimostra la pericolosita' di questo genere di attacchi, che se venisse adottato estesamente, vista la notevole quantita' di siti .it compromessi ogni giorno, creerebbe veramente grossi problemi.
Fortunatamente, ma non saprei per quanto tempo ancora, questo che vedremo e' un caso isolato.

Il sito in questione ( www.amicizie...... e' hostato su server Usa che, tra l'altro presenta altri siti, anche .it, compromessi, ma solo con una pagina di testo e immagini senza codici pericolosi all'interno.


Questa invece la home che si presenta aprendo il sito e l'avviso fornito da NOD32


e questo e' un frammento del source della pagina con all'interno il codice pericoloso



Come riportato da Sophos

“ ...................................................

VBS/Edibara-A Aliases * VBS/Edibara@M * VBS/Envary.A

VBS/Edibara-A is a visual basic script virus.

VBS/Edibara-A will attempt to modify files with htm and html extensions and include a segment of VBScript which will drop a copy of the virus on computer which read the infected htm/html file.

The script will also drop the following files:

<system32>/TPS32E.dll
<system32>/TPS32V.dll
<system32>/Systemv.dll
<system32>/Kernel.exe
<system32>/Kernel.vbs

All of which are detected by VBS/Edibara-A.

VBS/Edibara-A will autostart itself by setting the following registry entries:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Windows
<system32>\Kernel.vbs

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft Windows
<system32>\Kernel.exe

VBS/Edibara-A will also obtain your email address from Yahoo! Pager information and send an email to your account, with the subject line "Hello", prompting you to visit certain website.

........................................”

Si tratta di virus inserito da Sophos dal Marzo 2008 (4.27) , quindi recentemente, nella lista dei codici malware riconosciuti.

Come si vede esiste il reale pericolo che da semplici pagine con “proclami “ di vario genere si passi a pagine che distribuiscano malware.

Inoltre la facilita' con la quale ogni giorno decine di siti .IT vengono compromessi, potrebbe in questo caso, creare seri problemi di sicurezza per chi naviga in rete, se la pratica di aggiungere codici maligni nelle pagine attaccate diventera' di uso comune.

Edgar

2 commenti:

Sbronzo di Riace ha detto...

arrivato il solito commento spam virus che punta

hxxp://xpenprotect.com/

l'eseguibile che si scarica chiamato XPantivirus2008_v880187.exe
è riconosciuto da soli 2 antivirus su virustotal mentre su anubis Ikarus lo riconosce come Trojan-Dropper.Win32.MultiJoiner.17 (Sig-Id:147924)

strano anche virustotal ha Ikarus tra i vari motori di scansione ma lì viene riconosciuto da kaspersky e da f-prot

Edgar Bangkok ha detto...

Quello della diversa 'sensibilita' dei motori antivirus l'avevo gia' notato con prevx che si comportava differentemente su VirSCAN.org.
http://edetools.blogspot.com/2008/02/problemi-su-virus-total.html

Probabilmente dipende dalla diversa impostazione dell ambiente di test o da come e' settato il software AV
Il fatto che solo 2 av rilevino il problema odierno forse si spiega anche con il fatto che questi programmi adware e spyware sono considerati meno pericolosi del malware e quindi molti ptoduttori di antivirus non li prendono in considerazione anche se poi magari qualche versione ti scarica sul pc qualche file pericoloso o un trojan.
Comunque se vedi le url basta che cambi il numero /2008/2/_ da 1 a 4 per scaricare diversi falsi scanner online ...
Se ho tempo pubblico le 4 schermate.