Nuovo incidente per Microsoft. Nei giorni scorsi ha preso a diffondersi in Rete il trojan Download.Ject (battezzato anche con gli appellativi JS.Scob.Trojan, Scob, e JS.Toofeer). Si tratta di un componente maligno che si diffonde attraverso i server web, semplicemente visitando – con il browser Internet Explorer – una pagina “infetta”.
Il funzionamento è semplice. Una volta che un server web facente uso di Microsoft IIS 5.0 è stato infettato, ad ogni pagina che viene generata e proposta al visitatore, viene aggiunto uno speciale codice JavaScript che richiede il download del trojan da un server remoto (russo).
Il problema riguarda tutti i server web Windows 2000 Server ai quali non è stata applicata la patch 835732, poi inclusa da Microsoft nell’aggiornamento di sicurezza MS04-011, divenuto estremamente “popolare” dopo l’enorme diffusione del virus Sasser.
Il trojan Download.Ject, una volta infettato il sistema, registra tutti i dati gestiti (password comprese) ed apre una porta sul sistema, sfruttabile da qualunque utente malintenzionato, interessato a recuperare informazioni personali o semplicemente a far danni.
Dopo i problemi causati in tutto il mondo, il sito dal quale veniva prelevato il trojan è oggi offline. Le richieste di download del componente maligno, provenienti dai client Internet Explorer che hanno visitato pagine web gestite da server “infetti”, dovrebbero quindi cadere nel vuoto.
Ciò che è accaduto in passato, comunque, mostra come questo tipo di bug venga immediatamente sfruttato da nuovi e sempre più pericolosi virus.
Microsoft ha pubblicato un bollettino rivolto agli amministratori alle prese con Download.Ject. Il documento è consultabile da qui.
La presenza del trojan sul computer degli utenti si evince dalla presenza, all’interno del sistema, dei file kk32.dll e surf.dat.
IIS 5: i server Microsoft sotto assedio
Nuovo incidente per Microsoft. Nei giorni scorsi ha preso a diffondersi in Rete il trojan Download.