Edgar Bangkok
16-04-2009, 04:12
giovedì 16 aprile 2009
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Anche se sembrerebbe pagina compromessa gia' da tempo gli script presenti puntano tuttora a siti attivi nel distribuire malare.
Si tratta infatti di una serie di redirect ottenuti attraverso una lunga catena di javascript offuscati presenti su questo sito .IT ma hostato su server USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/00home.jpg
Ecco il source del sito con lo script offuscato iniziale
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/01scriptobfusitomusica2009-04-16_08.jpg
che dopo una prima decodifica
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/02malzillaprimodeofmusica2009-04-16.jpg
notiamo puntare a sito con IP
(Whois sul blog)
Sul sito a cui si viene rediretti dallo script abbiamo nuovamente uno script che deoffuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/04malzillasecondoredirectdeofmusica.jpg
ci mostra 2 links differenti sempre sul medesimo server.
Esaminando il primo link possiamo vedere che eseguendolo siamo portati su nuova pagina con ulteriore script offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/05malzillaterzodabeltdeofmusica2009.jpg
che propone 'finalmente ' il link a pagina che tenta il download di questo file .pdf
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/06vtprimoredirectsitomusica2009-04-.jpg
in realta' exploit PDF.
La pagina finale a cui si e' rediretti presenta diverso whois dalle precedenti e precisamente
(Whois sul blog)
Inutile dire che l'utilizzo dell'addon Noscript sotto Firefox garantisce una buona protezione da questo genere di problemi quando si visitano siti che sono compromessi con l'inserimento di codici pericolosi sotto forma di script java o links a malware.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/ancora-una-lunga-sequenza-di-javascript.html
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Anche se sembrerebbe pagina compromessa gia' da tempo gli script presenti puntano tuttora a siti attivi nel distribuire malare.
Si tratta infatti di una serie di redirect ottenuti attraverso una lunga catena di javascript offuscati presenti su questo sito .IT ma hostato su server USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/00home.jpg
Ecco il source del sito con lo script offuscato iniziale
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/01scriptobfusitomusica2009-04-16_08.jpg
che dopo una prima decodifica
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/02malzillaprimodeofmusica2009-04-16.jpg
notiamo puntare a sito con IP
(Whois sul blog)
Sul sito a cui si viene rediretti dallo script abbiamo nuovamente uno script che deoffuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/04malzillasecondoredirectdeofmusica.jpg
ci mostra 2 links differenti sempre sul medesimo server.
Esaminando il primo link possiamo vedere che eseguendolo siamo portati su nuova pagina con ulteriore script offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/05malzillaterzodabeltdeofmusica2009.jpg
che propone 'finalmente ' il link a pagina che tenta il download di questo file .pdf
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/script%20offuscati%2016%204/06vtprimoredirectsitomusica2009-04-.jpg
in realta' exploit PDF.
La pagina finale a cui si e' rediretti presenta diverso whois dalle precedenti e precisamente
(Whois sul blog)
Inutile dire che l'utilizzo dell'addon Noscript sotto Firefox garantisce una buona protezione da questo genere di problemi quando si visitano siti che sono compromessi con l'inserimento di codici pericolosi sotto forma di script java o links a malware.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/ancora-una-lunga-sequenza-di-javascript.html