Gli autori di TimThumb hanno già rimosso il codice vulnerabile. La reazione è stata a tempo di record: in poche ore l'intera libreria è stata riscritta, assicurandosi che fosse realmente sicura. Il difficile sarà sostituire la libreria in tutti quei siti che sono ormai abbandonati o gestiti da persone non al corrente del problema. Gli autori del malware, infatti, lo hanno evoluto permettendogli di passare ad infettare non solo il codice PHP ma anche alcuni componenti Javascript (tra cui JQuery!), creandodogli una specie di cavallo di Troia per sopravvivere ai tentativi di rimozione. Al momento esistono diverse varianti del virus, che hanno bisogno di diverse strategie per essere eliminate. Alcune delle quali decisamente complesse.
Se capitate su di un sito infetto, il vostro computer non è sottoposto ad un pericolo immediato, tuttavia è bene seguire delle cautele. Il malware legge la vostra username, la vostra password più tutti i dati contenuti nel vostro profilo utente di Wordpress e l'invia ad un sito remoto. Se condividete alcuni di questi dati con servizi più importanti (ad esempio se usate la stessa password per il vostro account PayPal o per il banking online), abbiate l'accortezza di cambiarli il prima possibile. Tutti i browser ormai segnalano alcune varianti del virus, con diversi livelli di successo (Chrome è il più scrupoloso).
In passato (2008) era già accaduto con un altro virus. Per evitarne la proliferazione erano scese in campo sia Google che Yahoo!, con un sistema molto ingegnoso. I motori di ricerca infettavano a loro volta i siti, rimuovendolo dai risultati di ricerca. Oltre a questo inserivano un banner rosso in cui consigliavano all'amministratore di dare una controllatina. Il banner veniva rimosso solo dopo che il sito aveva passato una validazione con un tool online, riabilitandolo anche nei ranking dei search engine.
Nessun commento:
Posta un commento