Edgar Bangkok
03-05-2009, 10:32
domenica 3 maggio 2009
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Sulla lista degli aggiornamenti di www.malwaredomainlist.com relativa all'elenco di siti compromessi appare l'indicazione di un sito .IT che presenta l'inserimento nel codice della homepage, ma non solo, di javascript offuscato che punta a pagina Mbroot.
Ricordo che il rootkit Mebroot, altrimenti noto come Torpig, Sinowal, o MBR, e' attivo da fine 2007 ed ultimamente e' in circolazione anche una nuova variante.
Dato che appare improbabile che su centinaia di siti presenti su un singolo IP uno solo sia stato vittima di un attacco per comprometterne il codice inserendo script offuscato, e' stata eseguita una analisi Webscanner sia dell'IP che ospita il sito compromesso che di alcuni IP contigui a quello del sito segnalato da www.malwaredomainlist.com.
Questo il sito attualmente compromesso da script offuscato presente su malwaredomainlist
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/2obfu.jpg
Una scansione con webscanner a pero' portato a trovare ad esempio quest'altro sito su medesimo IP
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/1obfusco2009-05-03_122634.jpg
mentre su altro IP contiguo al precedente abbiamo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/3obfu.jpg
Si tratta di siti compromessi che presentano tutti l'inserimento di questo script offuscato
(img sul blog)
non solo sulla home ma anche su altre pagine del sito e che deoffuscato ed analizzato con Wepawet viene classificato come
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/05/siti-italiani-compromessi-da-javascript.html
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Sulla lista degli aggiornamenti di www.malwaredomainlist.com relativa all'elenco di siti compromessi appare l'indicazione di un sito .IT che presenta l'inserimento nel codice della homepage, ma non solo, di javascript offuscato che punta a pagina Mbroot.
Ricordo che il rootkit Mebroot, altrimenti noto come Torpig, Sinowal, o MBR, e' attivo da fine 2007 ed ultimamente e' in circolazione anche una nuova variante.
Dato che appare improbabile che su centinaia di siti presenti su un singolo IP uno solo sia stato vittima di un attacco per comprometterne il codice inserendo script offuscato, e' stata eseguita una analisi Webscanner sia dell'IP che ospita il sito compromesso che di alcuni IP contigui a quello del sito segnalato da www.malwaredomainlist.com.
Questo il sito attualmente compromesso da script offuscato presente su malwaredomainlist
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/2obfu.jpg
Una scansione con webscanner a pero' portato a trovare ad esempio quest'altro sito su medesimo IP
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/1obfusco2009-05-03_122634.jpg
mentre su altro IP contiguo al precedente abbiamo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/compromessi%203%204/3obfu.jpg
Si tratta di siti compromessi che presentano tutti l'inserimento di questo script offuscato
(img sul blog)
non solo sulla home ma anche su altre pagine del sito e che deoffuscato ed analizzato con Wepawet viene classificato come
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/05/siti-italiani-compromessi-da-javascript.html