Edgar Bangkok
27-06-2008, 03:34
27 giugno 2008
Nel post precedente abbiamo visto la presenza in rete di forum contenenti decine se non centinaia di links a falsi video 'porno', che in realta, se cliccati, tentano di far scaricare falsi codec video o player.(malware di solito variante di Zlob)
Un altro tentativo di diffondere malware in rete sfrutta invece l'inserimento in maniera nascosta all'interno di 'normali' siti di gruppi di pagine con links a pagine che di solito vengono eseguiti in automatico con l'ausilio di appositi scripts
Altre volte invece abbiamo direttamente l'inserimento di uno script all'interno del codice della pagina colpita senza la presenza di pagine aggiunte.
Quello che vedremo ora e' un interessante ed attuale esempio che contiene sullo stesso sito le due tipologie (script offuscato e pagine aggiunte al sito) e che non necessariamente e' frutto di uno stesso attacco ma potrebbe anche essere il risultato di due successivi tentativi di diffondere malware.
Si tratta di sito relativo ad un hotel locato sull'isola d'Ischia, e di cui vediamo la homepage.
(img sul blog)
Dalle info al riguardo di tariffe ed offerte sembrerebbe che il sito venga aggiornato con una certa frequenza ed al momento risulti attivo.
(img sul blog)
Questo il codice della homepage da cui si nota la presenza di uno script offuscato
(img sul blog)
che deoffuscato, questa volta, riporta nel codice un iframe nascosto con links a sito sicuramente poco affidabile:
(img sul blog)
Come si vede solo attivando gli scripts, si nota la presenza di un nuovo iframe sulla pagina e relativo links a sito
(img sul blog)
che un whois indica come registrato a nome di
(img sul blog)
ben conosciuto da chi si occupa di malware in rete.
(img sul blog)
Code dicevo questa volta abbiamo sullo stesso sito anche la presenza di pagine nascoste che propongono, tra gli altri, links ad un motore di ricerca per siti 'porno'
Questa e' una immagine che illustra la struttura del sito dell'Hotel e che dimostra come siano state aggiunte una buona quantita' di pagine che puntano al sito di ricerca
(img sul blog)
locato questa volta su un altro ben conosciuto range IP noto per contenere pagine pericolose.
Edgar :D
fonte: http://edetools.blogspot.com/
Nel post precedente abbiamo visto la presenza in rete di forum contenenti decine se non centinaia di links a falsi video 'porno', che in realta, se cliccati, tentano di far scaricare falsi codec video o player.(malware di solito variante di Zlob)
Un altro tentativo di diffondere malware in rete sfrutta invece l'inserimento in maniera nascosta all'interno di 'normali' siti di gruppi di pagine con links a pagine che di solito vengono eseguiti in automatico con l'ausilio di appositi scripts
Altre volte invece abbiamo direttamente l'inserimento di uno script all'interno del codice della pagina colpita senza la presenza di pagine aggiunte.
Quello che vedremo ora e' un interessante ed attuale esempio che contiene sullo stesso sito le due tipologie (script offuscato e pagine aggiunte al sito) e che non necessariamente e' frutto di uno stesso attacco ma potrebbe anche essere il risultato di due successivi tentativi di diffondere malware.
Si tratta di sito relativo ad un hotel locato sull'isola d'Ischia, e di cui vediamo la homepage.
(img sul blog)
Dalle info al riguardo di tariffe ed offerte sembrerebbe che il sito venga aggiornato con una certa frequenza ed al momento risulti attivo.
(img sul blog)
Questo il codice della homepage da cui si nota la presenza di uno script offuscato
(img sul blog)
che deoffuscato, questa volta, riporta nel codice un iframe nascosto con links a sito sicuramente poco affidabile:
(img sul blog)
Come si vede solo attivando gli scripts, si nota la presenza di un nuovo iframe sulla pagina e relativo links a sito
(img sul blog)
che un whois indica come registrato a nome di
(img sul blog)
ben conosciuto da chi si occupa di malware in rete.
(img sul blog)
Code dicevo questa volta abbiamo sullo stesso sito anche la presenza di pagine nascoste che propongono, tra gli altri, links ad un motore di ricerca per siti 'porno'
Questa e' una immagine che illustra la struttura del sito dell'Hotel e che dimostra come siano state aggiunte una buona quantita' di pagine che puntano al sito di ricerca
(img sul blog)
locato questa volta su un altro ben conosciuto range IP noto per contenere pagine pericolose.
Edgar :D
fonte: http://edetools.blogspot.com/