Salve,
è tutto il gg che il motore euristico di kaspersky mi segnala

HEUR:Trojan.Script.Iframer

su un ads del sito


http://adsy.publy.it/www/delivery/afr.
php?zoneid=500&cb=INSERT_RANDOM_NUMBER_H
ERE&ct0=http://adclick.g.doubleclick.net/
aclk%253Fsa%253DL%2526ai%253DBx_iHPhQDT-
ClMtHD0AWK0pHEBva2xogCAAAAEAEg_s2qDjgAWO
ad4eIjYP3y_IPcELIBEHd3dy5od3VwZ3JhZGUuaX

Che dite falso allarme vero?
saluti

Salve,
è tutto il gg che il motore euristico di kaspersky mi segnala

HEUR:Trojan.Script.Iframer

su un ads del sito


http://adsy.publy.it/www/delivery/afr.
php?zoneid=500&cb=INSERT_RANDOM_NUMBER_H
ERE&ct0=http://adclick.g.doubleclick.net/
aclk%253Fsa%253DL%2526ai%253DBx_iHPhQDT-
ClMtHD0AWK0pHEBva2xogCAAAAEAEg_s2qDjgAWO
ad4eIjYP3y_IPcELIBEHd3dy5od3VwZ3JhZGUuaX

Che dite falso allarme vero?
saluti


No. Nel file c' è uno script maligno [sito].in/stream?1 che reindirizza ad un sito con vari exploit java, pdf e scarica il trojan zbot
http://www.virustotal.com/file-scan/report.html?id=8fd9de33a152a4b8779f8d23928272029c9d81150b009a7699f5b405193472d9-1325590599

GmG il link di VT è inefficiente.;)
*** Contrordine adesso è OK. ***
Il blocco dei contenuti di Opera previene il tutto.

Grazie della segnalazione; sembra essere legato ad un servizio banner esterno. Stiamo indagando

GmG il link di VT è inefficiente.;)
*** Contrordine adesso è OK. ***
Il blocco dei contenuti di Opera previene il tutto.

Link sistemato ;)

Link sistemato ;)

A mi pareva......più veloce della luce !! :D ;)

a tutt'ora rompe ancora..hmm...sfrutta cosa,giusto per far capire a me mortale?:D
Così imparo qualcosa..;)

riposto nel caso kaspersky mi ridia allarmi.
ciao

no c'è ancora qualche banner malizioso

http://adsy.publy.it/www/delivery/afr.php?zoneid=500&cb=INSERT_RANDOM_NUMBER_HERE&ct0=http://adclick.g.doubleclick.net/aclk%253Fsa%253DL%2526ai%253DBbbe_aC0DT_7xLpTC0AWxqMTEC_a2xogCAAAAEAEg_s2qDjgAWOad4eIjYP3y_IPcELIBF3d3dy5idXNpbmVzc21hZ2F6aW5lLml0ugEJZ2ZwX2ltYWdlyAEJ2gF2aHR0cDovL3d3dy5idXNpbmVzc21hZ2F6aW5lLml0L25ld3MvbW9iaWxlLWNsb3VkLXVuLWJ1c2luZXNzLWNvbi1tYXJnaW5pLWRhLTQ1LW1pbGlhcmRpLWRpLWRvbGxhcmktbmVsLTIwMTZfNDAwNTkuaHRtbOABAqkC4g0iNjXgtT7AAgLgAgDqAhVzcGVfaHd1cF8zMDBfZmFsbGJhY2v4AoHSHpADjAaYA4wGqAMB0ASQTuAEAaAGFg%2526num%253D0%2526sig%253DAOD64_2X_GnhsKL6ngfaPKMPerFDqI5dwA%2526client%253Dca-pub-1970414801028000%2526adurl%253D//packed

su + pagine diverse..

no c'è ancora qualche banner malizioso

http://adsy.publy.it/www/delivery/afr.php?zoneid=500&cb=INSERT_RANDOM_NUMBER_HERE&ct0=http://adclick.g.doubleclick.net/aclk%253Fsa%253DL%2526ai%253DBbbe_aC0DT_7xLpTC0AWxqMTEC_a2xogCAAAAEAEg_s2qDjgAWOad4eIjYP3y_IPcELIBF3d3dy5idXNpbmVzc21hZ2F6aW5lLml0ugEJZ2ZwX2ltYWdlyAEJ2gF2aHR0cDovL3d3dy5idXNpbmVzc21hZ2F6aW5lLml0L25ld3MvbW9iaWxlLWNsb3VkLXVuLWJ1c2luZXNzLWNvbi1tYXJnaW5pLWRhLTQ1LW1pbGlhcmRpLWRpLWRvbGxhcmktbmVsLTIwMTZfNDAwNTkuaHRtbOABAqkC4g0iNjXgtT7AAgLgAgDqAhVzcGVfaHd1cF8zMDBfZmFsbGJhY2v4AoHSHpADjAaYA4wGqAMB0ASQTuAEAaAGFg%2526num%253D0%2526sig%253DAOD64_2X_GnhsKL6ngfaPKMPerFDqI5dwA%2526client%253Dca-pub-1970414801028000%2526adurl%253D//packed

su + pagine diverse..

Premesso che ovviamente ciò non dovrebbe accadere (in teoria) in pratica si verifica ovviamente molto poco, più il sito web è controllato, occorre per gli utenti prendere sempre delle contromisure.
Noterai che con Opera + il blocco dei contenuti,in questo caso la minaccia è bloccata sul nascere.
Non ho verificato con altri browser.
Noterai inoltre che il browser è sotto tutela sandboxie.......:

http://img842.imageshack.us/img842/2301/bannerbch.th.jpg (http://imageshack.us/photo/my-images/842/bannerbch.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

a tutt'ora rompe ancora..hmm...sfrutta cosa,giusto per far capire a me mortale?:D
Così imparo qualcosa..;)

riposto nel caso kaspersky mi ridia allarmi.
ciao


Praticamente la pagina che viene caricata oltre a mostrare il banner carica anche un javascript da un sito maligno che cerca di identificare il software in uso e relative versioni di :

browser (Firefox, Internet explorer, etc.)
Plugin quali Oracle Java, Adobe Reader, Adobe Flash player
Sistema operativo

per sfruttare falle nei suddetti software per eseguire un programma maligno.

In generale le vulnerabilità più sfruttate recentemente sono

per JAVA CVE-2011-3544 (JRE 7 / JRE 6 Update 27 e versioni precedenti)

per Flash Player CVE-2011-2140 / CVE-2011-2110 / CVE-2011-0611 (versione 10.3.183.5 e precedenti)

Se hai le versioni più recenti di browser e plugin puoi stare relativamente al sicuro.

Il sito in questione sfrutta vulnerabilità per java (penso la CVE-2011-3544), pdf (ma non so che versioni di Adobe Reader), windows mdac (vecchissima vulnerabilità risolta con patch già nel 2006) e probabilmente altre

Occhiata veloce <iframe src="hxxp://yahti.in/stream?1" name="Twitter"

sbaglio o vai dritto su Twitter ?

Occhiata veloce <iframe src="hxxp://yahti.in/stream?1" name="Twitter"

sbaglio o vai dritto su Twitter ?

la prima volta che viene richiamato rimanda a

tr12909.uni[DOT]me/i/fors-gloom
g1omx313559.uni[DOT]me/i/fors-gloom

Poi se viene richiamato reindirizza su Twitter.

la prima volta che viene richiamato rimanda a

tr12909.uni[DOT]me/i/fors-gloom
g1omx313559.uni[DOT]me/i/fors-gloom

Poi se viene richiamato reindirizza su Twitter.

Al momento

HTTP 404 NOT FOUND

Pare che adsy.publy[dot]it/www/delivery/afr.php sia stato ripulito. :)

Non contiene più lo script a yahti[dot]in/stream?1

Pare che adsy.publy[dot]it/www/delivery/afr.php sia stato ripulito. :)

Non contiene più lo script a yahti[dot]in/stream?1

Si, l'iframe è sparito :)

ci siamo ancora a dietro..


http://www.securelist.com/en/descriptions/HEUR:Trojan.Script.Iframer



sempre adsy.it

Confermo ho informato Paolo Corsini

Iframe malevolo contenuto in afr.php
trafficprogress[DOT]org/stream?1

che reiderizza a noavastandsophosandfuckoffallavs[DOT]uni[DOT]me/[...]

127.0.0.1 adsy.publy.it


:D :D :D :D

Confermo ho informato Paolo Corsini

Iframe malevolo contenuto in afr.php
trafficprogress[DOT]org/stream?1

che reiderizza a noavastandsophosandfuckoffallavs[DOT]uni[DOT]me/[...]
cioè lo scopo?
Noavast ecc?

E' il nome del sito malevolo.
A volte i cybercriminali prendono in giro le compagnie di antivirus con vari messagi in esegubili, script, nomi di file e di siti etc.
come in questo caso

:)