@lorenz
Ormai tutti gli antivirus dovrebbero essere in grado di rilevarlo compreso il Norton
*** UPDATE *** (20 Giugno 2007)
Symantec ha
rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.
La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.
Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro: pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente - rimanendo in buona fede - spero impossibile che migliaia di utenti abbiano simili password di accesso.
O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.
PC Al Sicuro dettagli e discussione in tempo reale