[NEWS] Asprox ed altro malware su domini .IT. Un report riassuntivo

[Edgar Bangkok]

19 giugno 2008

Penso sia utile, dopo piu' di un mese dalle prime segnalazioni di siti IT colpiti da attacchi di sql injection, fare il punto sulla situazione attuale relativamente a scripts tra cui l'ormai noto b.js.

Il primo passo per eseguire un piccolo censimento delle pagine colpite e' stato quello di verificare, in automatico, quanti e quali sono i domini attivi attualmente ONLINE sia per quelli relativi ad Apsrox botnet sia per quelli presenti in lista ma con riconducibili alla botnet.
(img sul blog)
E qui i sorgenti delle pagine attive scaricati per ulteriori verifiche
(img sul blog)
La lista esaminata comprendeva domini Asprox sia recentissimi che datati ed anche url di pagine pericolose con altro genere di malware.
(img sul blog)
Se prendiamo come riferimento uno dei primi attacchi a base di sql injection piu' evidenti e precisamente quello del 10 maggio scorso a Rai TG2 possiamo vedere che lo script puntava alla pagina kisswow(dot)com(dot)cn, dominio che adesso risulta OFFLINE.
(img sul blog)
Come kisswow, molti altri domini, presenti nella lunga lista esaminata, risultano non raggiungibili.
Questo e' da tenere in considerazione poiche' esistono in rete ancora centinaia di siti .IT con pagine compromesse che contengono scripts che puntano ora a pagina malware OFFLINE
In questo caso, a parte il layout del sito colpito a volte rovinato dalla presenza di parti di script in chiaro sulla pagina, fortunatamente chi visita questi siti non e' piu' linkato ad exploit o codici pericolosi
(img sul blog)
Purtroppo pero' la comparsa quasi giornaliera di nuovi domini che vanno a sostituire i vecchi OFFLINE e le vulnerabilita' non risolte rendono pagine gia colpite in precedenza nuovamente compromesse da script aggiornati.
Ecco un esempio di pagina attuale che vediamo ospitare un assortimento di scripts pericolosi tra cui certamente alcuni attivi.
(img sul blog)
A riprova di questo se andiamo a ricercare nel migliaio di sorgenti scaricati dal tool un recente dominio Asprox (in questo caso jetdbs(dot)com), che al momento nessun motore di ricerca evidenzia su sito IT, ne troviamo la sua presenza in alcune pagine .IT gia' colpite in vecchia data.
(img sul blog)
La tendenza sembra comunque quella di un lento decremento del numero di siti colpiti, forse anche dovuto al fatto che quelli piu' facilmente attaccati sono stati ormai bonificati e il loro codice ripulito dalle vulnerabilita'

In ogni caso visto che al momento abbiamo la comparsa di nuovi domini Asprox ogni poche ore e considerando anche che le eventuali pagine colpite in questi giorni verranno indicizzate dai motori di ricerca solo nei prossimi, fa pensare che non siamo ancora alla fine di questa tipologia di attacchi.

In conclusione, se effettuiamo una ricerca per /b.js, (lo script pericoloso legato ad Asprox) nei source delle pagine scaricate dal tool abbiamo ancora circa tredicimila occorrenze del codice java contenuto su circa 150 pagine.

Ricordo che nel lungo elenco di domini presenti nella lista esaminata dal tool ne comparivano anche di tipo non Asprox ed alcuni di questi si sono dimostrati tuttora attivi, presenti in pagine .IT e con links a malware dei piu' vari, cosa che vedremo in dettaglio in un prossimo post.

Edgar

fonte: http://edetools.blogspot.com/