Il tema è sempre lo stesso: i virus iniettati sui server Aruba e su cui il provider non dà spiegazioni ufficiali. Se ne parla un po’ ovunque, molti sono i sospetti che fanno pensare ad una responsabilità del provider (‘buco’ sui server’) piuttosto che del singolo sito in hosting, ma ad oggi nessuna confrma ufficiale (nè smentita).

Da una discussione Friendfeed arriva un’interessante reverse engineering del codice iniettato sui file ad opera di MCalamelli:
il codice iniettato esegue una chiamata valida a twitter.com [mostrando l’immagine del feed RSS] e impostando come callback alla chiamata una funzione maligna definita nello script stesso. La callback inserisce nella pagina un iframe nascosto che si collega ad un URL generato in modo casuale [in realtà c’è un algoritmo basato sulle date, ben visibile nel codice postato] per scaricare malware nel pc dell’utente. Lo script esegue un controllo su di un cookie per limitare le query nel caso di reload della pagina.

Per eliminare il problema, è sufficiente come suggerisce Giovy nella disucssione stessa rimuovere la riga contenente il codice offuscato. Il worm dovrebbe essere un malware piuttosto noto: Torpig/Sinowal/Mebroot.

Aruba tace e non risponde alle segnalazioni: ho spostato nelle scorse settimane (anche) per questi continui problemi l’hosting di maxkava.com, valutate anche voi se cambiare provider!


Post correlati:

  1. Virus sui server Aruba, ma il provider tace
  2. Un worm che sfrutta i DRM Sony
  3. Skype senza pace: c’è un worm per gli utenti Windows
  4. Germania, il Governo spia via Skype
  5. La nona sezione civile ha “accolto integralmente il ricorso di Mediaset contro Youtube disponendo la rimozione immediata dai server Youtube di tutti i contenuti illecitamente caricati: nello specifico, l’ordinanza si riferisce a Grande Fratello.