26 aprile 2008

La presenza del javascript pericoloso sul sito “Le chicche di Cala” , peraltro prontamente bonificato, ha posto il dubbio che esistessero altre pagine in rete con il medesimo problema.
Il test e' stato fatto eseguendo una ricerca con il mio tool Webscanner sul medesimo IP del sito di Cala.

La ricerca ha individuato un altro sito vvv.mrprofit.it che contiene nella pagina di avvio lo script pericoloso.
Come si vede dai risultati chi si connette al sito non puo' vedere lo script in quanto la pagina iniziale redirige su magazine/default.php appena viene caricata.
(immagine sul blog)

Nello screenshot potete vedere il frammento di codice javascript che ho utilizzato per la ricerca confrontato con quello che era presente sul sito di Cala.
Sarebbe ora interessante estendere la ricerca al altri range IP, magari del medesimo hoster italiano, per verificare se esistono altri siti con il problema visto.

Edgar :D

fonte: http://edetools.blogspot.com/2008/04/utilizzo-di-webscanner-nella-ricerca-di.html

Sto estendendo la scansione del range IP ed al momento parrebbero essere compromessi altri 6 siti ma c'e' da rilevare che per ora siamo solo ad una piccola percentuale di pagine analizzate sul totale hostato nel range , che penso raggiunga qualche migliaio di siti.

Questi i siti che danno positivita', al frammento di codice javascript visto prima, nel parziale report di Webscanner, tra cui ad esempio abbiamo il sito della cantante e showgirl italiana Sabrina Salerno
(immagine del report sul blog)

Inoltre, visto che sembra di essere come a pesca, nella rete di Webscanner, e rimasto anche 'impigliato' questo sito vvv.fondiesicav.info che presenta codice offuscato definito dal NOD32 come trojan downloader.

Per chi volesse analizzare gli script raccomando sempre la massima attenzione in quanto si tratta di codici potenzialmente pericolosi.

Edgar :D

ma perchè vvv. e non www. ???

per evitare che sia linkabile uhm...

Visto che non si tratta di link del tutto sicuri ... per evitare eventuali links non voluti e' sempre meglio alterare l'url :rolleyes:

Edgar

Visto che non si tratta di link del tutto sicuri ... per evitare eventuali links non voluti e' sempre meglio alterare l'url :rolleyes:

Edgar

ho visitato vvv.mrprofit.it con sandboxie, per vedere cosa succedeva...

il webguard di avira nn ha dato segno...

xò quando ho abilitato lo script della pagina con ff, si è avviato java...

se ho cpt bene (scusate la mia ignoranza), dovrebbe compararire quel codice %64.....giusto? o no? perchè io l'ho cercato nella homepage ma nn c'era...:stordita:

E' la gang del MBR rootkit!

Attenzione quindi

E' la gang del MBR rootkit!

Attenzione quindi

lo immaginavo*, però il webguard di avira lo doveva segnalare...o no?

forse con ff è bloccato, e solo con internet explorer si installa il trojan mebroot...

a questo proposito mi ricordo ai tempi della destra.info che chi aveva, mi sembra, firefox, anche senza no script, nn si infettava...se ricordo bene...:stordita:

ps: forse è stato rimosso? almeno su vvv.mrprofit.it


infatti ero in account limitato con sandboxie.....cmq per si e per no ho riavviato e fatto il controllo con lo stealth della gmer ed è tutto ok :D

ho visitato vvv.mrprofit.it con sandboxie, per vedere cosa succedeva...

il webguard di avira nn ha dato segno...

xò quando ho abilitato lo script della pagina con ff, si è avviato java...

se ho cpt bene (scusate la mia ignoranza), dovrebbe compararire quel codice %64.....giusto? o no?

Purtroppo hai selezionato l unico sito che, come spiego nel post sul blog, carica prima la pagina con lo script e subito dopo la pagina di mrprofit che corrisponde a magazine/default.php e quindi tu vedi la pagina pulita
in pratica abbiamo mrprofit.it (con il java) che carica ----> a sua volta magazine/default.php senza il codice java

Se vuoi visualizzare il codice scegli una delle altre pagine che vedi sull elenco nel blog ma attento che contengono il codice java probabilmente ancora attivo e pericoloso

Edgar

Purtroppo hai selezionato l unico sito che, come spiego nel post sul blog, carica prima la pagina con lo script e subito dopo la pagina di mrprofit che corrisponde a magazine/default.php e quindi tu vedi la pagina pulita
in pratica abbiamo mrprofit.it (con il java) che carica ----> a sua volta magazine/default.php senza il codice java

Se vuoi visualizzare il codice scegli una delle altre pagine che vedi sull elenco nel blog ma attento che contengono il codice java probabilmente ancora attivo e pericoloso

Edgar

hai ragione: nn avevo letto bene...:muro: :muro: :muro:

piu tardi provo e complimenti x il lavoro, molto importante, che fai, grazie :)

Access to the URL has been denied!
Warning: The content of this website is part of a unwanted category: Malware

Requested URL: http://www.chicchedicala.it/

Generated by AntiVir WebGuard 8.0.13.0, WCDB 7.0.426.1230



se vado sul sito chicche di cala ottengo ancora questo messaggio sia con firefox che con IE ed ho svuotato la cache dei browser
e questo nonostante che il sito sia o dovrebbe essere bonificato

ma un attimo: su avira ho visto che c'è qualche protezione che di default non è attiva. non è che attivandola poi può far qualcosa?

ripreso anche da maipiugromozon blog:

http://maipiugromozon.blogspot.com/2008/04/ancora-siti-italiani-compromessi-dalla.html

ma un attimo: su avira ho visto che c'è qualche protezione che di default non è attiva. non è che attivandola poi può far qualcosa?

l'unica funzione che può esserti veramente utile in questo caso è webguard,nella free però non è presente