A rischio i siti che usano IIS 5.0. Il componente maligno si diffonde semplicemente visitando le pagine infette. La patch è la stessa di Sasser
28 giugno 2004 Nuovo incidente per Microsoft. Nei giorni scorsi ha preso
a diffondersi in Rete il trojan Download.Ject (battezzato anche
con gli appellativi JS.Scob.Trojan, Scob, e
JS.Toofeer).
Si tratta di un componente maligno che si diffonde attraverso i server
Web, semplicemente visitando – con il browser Internet Explorer – una
pagina "infetta".
Il funzionamento è semplice. Una volta che un server Web facente uso
di Microsoft IIS 5.0 è stato infettato, ad ogni pagina
che viene generata e proposta al visitatore, viene aggiunto uno speciale codice
JavaScript che richiede il download del trojan da un server
remoto (russo) che è stato chiuso in queste ore.
Le richieste di download del componente maligno, provenienti dai client Internet
Explorer che hanno visitato pagine Web gestite da server "infetti",
dovrebbero quindi cadere nel vuoto. Ma gli esperti di sicurezza affermano che
il problema non è risolto considerando che vi vuole poco tempo per metter
su un sito con queste funzionalità.
Il problema riguarda tutti i server Web Windows 2000 Server ai quali non è
stata applicata la patch 835732, poi inclusa da Microsoft nell’aggiornamento
di sicurezza MS04-011,
divenuto estremamente "popolare" dopo l’enorme diffusione del virus
Sasser e che consigliamo caldamente di installare. Microsoft ha comunicato che
gli utenti con l’SP2 di XP non corrono rischi, peccato
che il Service Pack 2 non sia stato ancora ufficialmente rilasciato.
Il trojan Download.Ject, una volta infettato il sistema, registra tutti i dati
gestiti (password comprese) ed apre una porta sul sistema,
sfruttabile da qualunque utente malintenzionato, interessato a recuperare informazioni
personali o semplicemente a far danni.
Ciò che è accaduto in passato, comunque, mostra come questo tipo
di bug venga immediatamente sfruttato da nuovi e sempre più pericolosi
virus.
Microsoft ha pubblicato un bollettino rivolto agli amministratori alle
prese con Download.Ject. Il documento è consultabile da questo indirizzo.
La presenza del trojan sul computer degli utenti si evince dalla presenza,
all’interno del sistema, dei file kk32.dll e surf.dat.
