www.MegaLab.it

[jacksp]

Buongiorno a tutti, ho deciso di postare sul forum per ricevere aiuto e magari qualche riscontro dopo aver tentato qualsiasi cosa senza risultato.

Tutto è iniziato un mese fa, quando mi hanno chiamato quelli dell'azienda per cui lavoro, dicendomi che il sito era stato alterato da qualche bot che aveva cambiato i template del sito, quindi ho fatto ripristinare il backup ed è finita lì.

Da un po' di tempo invece i clienti che visitano il sito dell'azienda li avvisano di aver ricevuto notifiche dall'antivirus (Norton e AVG) che rilevano un "Blackhole Exploit Kit". Sono stato quindi incaricato di analizzare entrambi i siti. Non so come ieri non ho rilevato nulla, ho fatto scansionare il sito a Dr. web, Urlvoid, Novirusthanks, scanurls, poi ho installato un modulo Antivirus su entrambi i siti (fatti con Joomla) che ricerca pattern di codice, ma ha trovato solo falsi positivi, infine ho scaricato in locale tutti i file e i database e li ho navigati senza problemi (Uso Avira Antivir Free).

Stamattina invece aprendo uno dei due siti non ho ricevuto un avviso dall'antivirus, ma windows mi ha notificato di un crash di un applicazione che ho capito subito fosse un virus, perché aveva un nome composto da lettere e numeri casuali, ed era partito un processo che risiedeva nella cache del browser.
Ho fatto scansionare il file a virustotal e solo 2 antivirus lo hanno riconosciuto, quindi ho provveduto ad inviarlo a diversi produttori di antivirus per l'analisi. Altra cosa che ho notato è che il sito aveva lo stesso problema citato all'inizio, ovvero il template era completamente sballato. Ricaricando la pagina tutto tornava normale e navigando non ricevevo più avvisi nè dall'antivirus nè dal browser. Questo accade sporadicamente, e solo alla prima visita, anche dopo un riavvio del pc (Il browser elimina tutto tranne le password salvate alla chiusura).

Ora mi chiedo, com'è possibile una cosa del genere? C'è qualcosa che il browser carica solo la prima volta in assoluto che si visita un sito e basta? E poi così sporadicamente? C'è qualche controllo che posso fare? A qualcuno è capitato qualcosa del genere?

Spero che qualcuno mi aiuti a risolvere questo problema..

Grazie in anticipo

[jacksp]

Ho risolto. Il codice malevolo era mascherato da codice di controllo di Google Analytics, solo che aveva un url_encode che puntava ad un sito che cercato in google mi ha portato a una pagina degli AVG threat labs che indicava la presenza del malware citato sopra "Blackhole Exploit Kit".

[farbix89]

Di solito questo tipo di Exploit porta con sè dei Ransomware (come quello della SIAE) o altri tipi di malware pesanti,trasformando siti innocui in untori.

Quindi aver agito prontamente ha impedito anche il diffondersi di un'infezione tra gli utenti del sito (non una buona pubblicità).

[jacksp]

Già, e per fortuna :)

Quando ho scoperto il codice malevolo ho fatto altre ricerche in google, e sembra proprio che la tecnica usata sia molto recente, i primi tentativi erano stati riportati a Febbraio 2012. Non so se sia voluto, ma lo script si attivava solo quando succedeva qualcosa sul sito malevolo, proprio come Google Analytics che aggiorna le statistiche richiamando lo script inserito sul proprio sito ad intervalli regolari. Pazzesco..

[GERONIMO*]

si lo beccai anch'io e su un blog molto famoso,di cui non faccio il nome per non fare pubblicità
l'antivirus subito lo bloccò e rimosse
era un Trojan: JS / Redirector
http://translate.google.it/translate?hl ... %3Dimvnsfd