iScanner – Utility per individuare eventuali pagine web infette

iScanner è un software scritto in Ruby che permette di individuare ed eventualmente rimuovere codice maligno all’interno delle pagine web, nello specifico l’applicativo permette:

  • Rilevamento di codice maligno all’interno delle pagine web;
  • Rimozione automatica di un eventuale codice sospetto all’interno delle pagine web;
  • Sistema di Backup dei file elaborati;
  • Database aggiornabile;
  • Report all’interno di un file di log delle minacce rilevate con la possibilità di inviare una eMail riepilogativa.

L’installazione del software è veramente molto semplice, una volta effettuato il Download dell’applicativo ed estratto l’archivio basterà digitare da shell il seguente comando:

./installer -i

successivamente lanciando il comando:

iscanner .h

è possibile visualizzare tutti i comandi disponibili che per comodità vi riepilogo dopo il salto.

Nell’immagine principale ho analizzato un sito web segnalatomi attraverso la Mailing List  Sikurezza.org (Italian Security Mailing List) nella quale un utente richiedeva maggiori informazioni di attendibilità del sito glandorepartners.com e come lo stesso utente prevedeva la pagina web contiene un codice Javascript offuscato.

Un codice Javascript offuscato solitamente è portatore di operazioni malevoli ma non è sempre scontato, pertanto conviene successivamente analizzare il codice estrapolandolo dal file di log e con un po’ di pazienza procediamo all’analisi.

Nell’esempio riportato il presunto codice malevolo invia ad ogni accesso al sito web una eMail all’indirizzo acollins [AT] glandorehealthcare.com informando il webmaster della nostra visita.

Principali comandi di iScanner

    -R        Use this option to scan a remote web page / website.
# iscanner -R http://example.com

-F        Use this option to scan a specific file.
# iscanner -F /home/user/file.php

-f        Use this option to scan a specific directory.
# iscanner -f /home/user

-e      This option will allow you to select specific file extensions for
scanning, by default iScanner will scan [htm, html, php, js] if you
wanted to scan other or specific extensions only:
# iscanner -f /home/user -e htm:html

-d      By default iScanner will load the latest version of signatures
database in the folder, if wanted to use older or modified version
of the database:
# iscanner -f /home/user -d database.db

-M      Using this option allows you to specify malware code and iScanner
will automatically generate regex signature for it then scan the
files / website you want (incase you wanted to scan for specific
code or undetected malware!)
# iscanner -M /home/user/malware_code.txt -f /home/user
# iscanner -M /home/user/malware_code.txt -R http://example.com

-o      Using this option will allow you to choose the name of the infected
log file. If this option wasn’t used the name of the infected log
file will be in this format “infected-[TIME]-[DATE].log”, if you
wanted to select other name:
# iscanner -f /home/user -o user.log

-m      With this option you can tell iScanner to send a copy of the
infected log to selected email address:
# iscanner -f /home/user -m [email protected]

-c      This option will clean the infected files by removing the malicious
code only without deleting the infected files. Before using this
option make sure to check the infected log to know what exactly
iScanner is going to remove from each infected file.
# iscanner -c infected.log

-b      If you used this option iScanner will take backup from the infected
files before cleaning it. You can find backup of the cleaned files
in a folder have the name “backup-[TIME]-[DATE]”.
# iscanner -b -c infected.log

-r      If you used the previous option when cleanning the infected log and
something went wrong, use this option to restore the files from the
backup directory.
# iscanner -r backup/

-a      Using this option will make iScanner clean every infected file
automatically. This option could be dangerous if you didn’t scan
the folder before and you don’t know the results.
# iscanner -f /home/user -a

-D      This option will make iScanner run in the debug mode, the option
will be useful if you had problem while running iScanner.
# iscanner -f /home/user -D

-q      If you don’t want to see any output from iScanner you can enable
this option to make the program run in the quit mode.
# iscanner -f /home/user -q

-s      This option allows you to send malicious file to iScanner’s
developers for analyses. This will help us improve the signatures
database and keeping it updated.
# iscanner -s /home/user/malicious_file.html

-U      With this option you can update iScanner and the signatures
database to the latest version easily.
# iscanner -U

-u      This option will update the signatures database only instead of
updating the whole program.
# iscanner -u

-v      This option will print iScanner’s version and release date with
the database version and it’s release date too.
# iscanner -v

-h      This option will show the help message.
# iscanner -h