Edgar Bangkok
17-06-2008, 10:03
17 giugno 2008
Capita a volte, quasi per caso, di imbattersi in links a malware hostato su domini .IT anche appartenente ad Enti Pubblici come ad esempio questo caso di javascript offuscato hostato su dominio della Regione Liguria
Non si tratta comunque di caso collegato ai recenti attacchi di sql injection di cui hanno sofferto anche pagine appartenenti al dominio Regione.Liguria e di cui si e' scritto ultimamente in rete ma probabilmente di codice malevolo residente da molto piu tempo sul server e forse frutto di uno specifico hacking del sito.
(img sul blog)
Questa la url con la videata del download del codice php pericoloso
(img sul blog)
hostato su server appartenente a
(img sul blog)
e questo il contenuto del file php
(img sul blog)
dove si nota la presenza di uno script java offuscato che decodificato punta ad un file eseguibile
(img sul blog)
hostato su server turco
Il file analizzato con VT dimostra che si tratta di malware ma fortunatamente ben riconosciuto dai principali softwares antivirus e questo probabilmente perche', come dicevo, ci troviamo di fronte ad un attacco abbastanza datato
(img sul blog)
Interessante notare l'icona scelta per rappresentare il file pericoloso uguale a quella utilizza per i folder su disco e questo per nascondere la caratteristica EXE (eseguibile) del file.
(img sul blog)
Anche, se come abbiamo visto, si tratta di malware ben riconosciuto dagli AV e che sembrerebbe poter fare pochi danni, rimane il fatto che continuano ad esserci in rete server che ospitano oltre al loro contenuto “ufficiale” anche codici malevoli o links a malware che potrebbero rappresentare un problema per chi naviga in rete.
Edgar :D
fonte: http://edetools.blogspot.com/
Capita a volte, quasi per caso, di imbattersi in links a malware hostato su domini .IT anche appartenente ad Enti Pubblici come ad esempio questo caso di javascript offuscato hostato su dominio della Regione Liguria
Non si tratta comunque di caso collegato ai recenti attacchi di sql injection di cui hanno sofferto anche pagine appartenenti al dominio Regione.Liguria e di cui si e' scritto ultimamente in rete ma probabilmente di codice malevolo residente da molto piu tempo sul server e forse frutto di uno specifico hacking del sito.
(img sul blog)
Questa la url con la videata del download del codice php pericoloso
(img sul blog)
hostato su server appartenente a
(img sul blog)
e questo il contenuto del file php
(img sul blog)
dove si nota la presenza di uno script java offuscato che decodificato punta ad un file eseguibile
(img sul blog)
hostato su server turco
Il file analizzato con VT dimostra che si tratta di malware ma fortunatamente ben riconosciuto dai principali softwares antivirus e questo probabilmente perche', come dicevo, ci troviamo di fronte ad un attacco abbastanza datato
(img sul blog)
Interessante notare l'icona scelta per rappresentare il file pericoloso uguale a quella utilizza per i folder su disco e questo per nascondere la caratteristica EXE (eseguibile) del file.
(img sul blog)
Anche, se come abbiamo visto, si tratta di malware ben riconosciuto dagli AV e che sembrerebbe poter fare pochi danni, rimane il fatto che continuano ad esserci in rete server che ospitano oltre al loro contenuto “ufficiale” anche codici malevoli o links a malware che potrebbero rappresentare un problema per chi naviga in rete.
Edgar :D
fonte: http://edetools.blogspot.com/