Siti web infetti, pubblicità importune – una soluzione fai da te

Sembra siano MILIONI i siti web compromessi da un attacco del tipo “sql injection”, che inserisce codice malevolo nelle pagine web in ASP (Active Server Pages, linguaggio di script della piattaforma Microsoft) che così modificate scaricano un trojan sui pc degli ignari naviganti.

Il codice iniettato è criptato e comincia così:

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0×4400450
043004C004100520045002000400054002000760061007200630068006
1007200280032003500350029002C00400043002000760061007200630
06800610072002800320035003500290020004400450043004C0041005
200450020005400610062006C0065005F0043007500720073006F00720
0200043005500520053004F005200200046004F0052002000730065006
C00650063007400200061002E006E0061006D0065002C0062002E006E0
061006D0065002000660072006F006D0020007300790073006F0062006
A006500630074007300200061002C0073007900730063006F006C00750
06D006E00730020006200200077006800650072006500200061002E006
90064003D0062002E0069006400200061006E006400200061002E00780
074007900700065003D00270075002700200061006E006400200028006
2002E00780074007900700065003D003900390020006F0072002000620
02E00780074007900700065003D003300350020006…

Una volta decodificato appare così:

DECLARE @T varchar(255)@C varchar(255) DECLARE Table_Cursor
CURSOR FOR select a.name b.name from sysobjects a syscolumns b
where a.id=b.id and a.xtype=u and (b.xtype=99 or b.xtype=35
or b

Cercando con Google le stringhe www.nihaorr1.com/1.js, www.adw95.com/b.js o www.banner82.com/b.js si trovano migliaia di siti, divisi in due categorie: quelli che parlano dell’infezione, soprattutto forum di programmazione ASP, e quelli che hanno il trojan installato.

Il software (una routine in JavaScript) non è caricato direttamente sul sito compromesso, ma fa aprire dal browser del navigante un frame invisibile che punta ad un sito remoto, uno dei tre sopracitati ad esempio: è da quest’ultimo che viene scaricato sul PC della vittima il virus vero e proprio.

Alcune falle di sicurezza che il virus cerca di sfruttare per l’installazione del trojan (ecco perché è una buona idea attivare l’aggiornamento automatico del sistema operativo !):

MS06-014 Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution

MS07-004 Vulnerability in Vector Markup Language Could Allow Remote Code Execution

MS07-018 Vulnerabilities in Microsoft Content Management Server Could Allow Remote Code Execution

MS07-033 Cumulative Security Update for Internet Explorer

MS07-055 Vulnerability in kodak Image Viewer Could Allow Remote Code Execution

A parte una ripulita dei siti web da parte dei relativi gestori, quel che si può fare personalmente è aprire con Blocco note (notepad.exe) il proprio file hosts (che si trova in c:\windows\system32\drivers\etc\hosts) ed inserirvi un reindirizzamento sul proprio PC (localhost) che renda inoffensivi gli indirizzi dei siti malevoli, ad es. le righe:

www.nihaorr1.com 127.0.0.1
www.adw95.com 127.0.0.1
www.banner82.com 127.0.0.1
nmidahena.com 127.0.0.1
aspder.com 127.0.0.1

I siti in oggetto non saranno così più raggiungibili, naturalmente quelli identificati finora.

Basta infatti che nuovi siti web vengano sfruttati dal trojan e si ricomincia, per cui la migliore soluzione è quella di utilizzare un antivirus valido.

I siti compromessi sono tanti, molti sono anche italiani: ci sono siti istituzionali (Comuni, Enti e Province), siti privati e di eCommerce.

Viene subito in mente però che la stessa tecnica si può usare anche per altri scopi: impedire la comparsa di finestre pubblicitarie indesiderate durante la navigazione, impedire a figli indisciplinati di raggiungere siti che si considerano inadatti, ecc.

Trovate qui una lista di domini da bloccare con la tecnica del localhost.

(Fonte: PandaLabs e www.f-secure.com)