Edgar Bangkok
05-08-2008, 06:14
marted́ 5 agosto 2008
N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti.
Nei giorni scorsi abbiamo visto numerosi siti .IT (http://edetools.blogspot.com/2008/07/watch-free-movie-update-every-hour.html) con inclusa al loro interno una pagina che proponeva un falso aggiornamento flash player ed anche, in alcune, un iframe con exploits di vario genere.
Sembra che adesso il tentativo di far scaricare pericoloso malware abbia una nuova ulteriore fonte.
Sono infatti apparse da poco nuove pagine incluse all'interno di siti .IT che si differenziano da quelle viste nei giorni scorsi come vediamo da questa ricerca in rete.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/ricerca.jpg
Anche questa volta i siti colpiti oltre alla pagina nascosta ospitano il file eseguibile del falso player ed inoltre il nome della pagina varia da sito a sito ( index6.html ...index12.html ecc...)
E' interessante notare come questa volta la pagina possa essere caricata richiamandola con l'url del nome del sito seguita da /index1.php.
Vediamo ad esempio questo sito .IT
(img sul blog)
nel quale e' presente la pagina nascosta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/phppage.jpg
questo un log della connessione al sito
(img sul blog)
e questo il codice sorgente della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/source.jpg
con all'interno i riferimenti al falso player malware ed anche un iframe nascosto che al momento non sembra pero' attivo mentre il malware e' come sempre poco riconosciuto dai softwares AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/vtmarzotto.jpg
Il nome del file eseguibile , tra l'altro, risulta variare a seconda del sito che ospita la pagina del falso player cosi' come cambia il nome del file html che costituisce la pagina con i links e l'immagine del player
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/
N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti.
Nei giorni scorsi abbiamo visto numerosi siti .IT (http://edetools.blogspot.com/2008/07/watch-free-movie-update-every-hour.html) con inclusa al loro interno una pagina che proponeva un falso aggiornamento flash player ed anche, in alcune, un iframe con exploits di vario genere.
Sembra che adesso il tentativo di far scaricare pericoloso malware abbia una nuova ulteriore fonte.
Sono infatti apparse da poco nuove pagine incluse all'interno di siti .IT che si differenziano da quelle viste nei giorni scorsi come vediamo da questa ricerca in rete.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/ricerca.jpg
Anche questa volta i siti colpiti oltre alla pagina nascosta ospitano il file eseguibile del falso player ed inoltre il nome della pagina varia da sito a sito ( index6.html ...index12.html ecc...)
E' interessante notare come questa volta la pagina possa essere caricata richiamandola con l'url del nome del sito seguita da /index1.php.
Vediamo ad esempio questo sito .IT
(img sul blog)
nel quale e' presente la pagina nascosta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/phppage.jpg
questo un log della connessione al sito
(img sul blog)
e questo il codice sorgente della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/source.jpg
con all'interno i riferimenti al falso player malware ed anche un iframe nascosto che al momento non sembra pero' attivo mentre il malware e' come sempre poco riconosciuto dai softwares AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/hidden%20marzotto/vtmarzotto.jpg
Il nome del file eseguibile , tra l'altro, risulta variare a seconda del sito che ospita la pagina del falso player cosi' come cambia il nome del file html che costituisce la pagina con i links e l'immagine del player
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/