HEUR:Trojan.Script.Iframer su hwupgrade.it

igiolo · 03-01-2012, 15:53

Salve,
è tutto il gg che il motore euristico di kaspersky mi segnala

HEUR:Trojan.Script.Iframer

su un ads del sito

http://adsy.publy.it/www/delivery/afr.
php?zoneid=500&cb=INSERT_RANDOM_NUMBER_H
ERE&ct0=http://adclick.g.doubleclick.net/
aclk%253Fsa%253DL%2526ai%253DBx_iHPhQDT-
ClMtHD0AWK0pHEBva2xogCAAAAEAEg_s2qDjgAWO
ad4eIjYP3y_IPcELIBEHd3dy5od3VwZ3JhZGUuaX

Che dite falso allarme vero?
saluti

GmG · 03-01-2012, 16:39

Quote:

Originariamente inviato da igiolo

Salve,
è tutto il gg che il motore euristico di kaspersky mi segnala

HEUR:Trojan.Script.Iframer

su un ads del sito

http://adsy.publy.it/www/delivery/afr.
php?zoneid=500&cb=INSERT_RANDOM_NUMBER_H
ERE&ct0=http://adclick.g.doubleclick.net/
aclk%253Fsa%253DL%2526ai%253DBx_iHPhQDT-
ClMtHD0AWK0pHEBva2xogCAAAAEAEg_s2qDjgAWO
ad4eIjYP3y_IPcELIBEHd3dy5od3VwZ3JhZGUuaX

Che dite falso allarme vero?
saluti

No. Nel file c' è uno script maligno [sito].in/stream?1 che reindirizza ad un sito con vari exploit java, pdf e scarica il trojan zbot
http://www.virustotal.com/file-scan/...2d9-1325590599

sampei.nihira · 03-01-2012, 16:50

GmG il link di VT è inefficiente.

*** Contrordine adesso è OK. ***
Il blocco dei contenuti di Opera previene il tutto.

***Paolo Corsini*** · 03-01-2012, 16:52

Grazie della segnalazione; sembra essere legato ad un servizio banner esterno. Stiamo indagando

GmG · 03-01-2012, 16:54

Quote:

Originariamente inviato da sampei.nihira

GmG il link di VT è inefficiente.

*** Contrordine adesso è OK. ***
Il blocco dei contenuti di Opera previene il tutto.

Link sistemato

sampei.nihira · 03-01-2012, 16:55

Quote:

Originariamente inviato da GmG

Link sistemato

A mi pareva......più veloce della luce !!

igiolo · 03-01-2012, 17:30

a tutt'ora rompe ancora..hmm...sfrutta cosa,giusto per far capire a me mortale?

Così imparo qualcosa..

riposto nel caso kaspersky mi ridia allarmi.
ciao

igiolo · 03-01-2012, 17:33

no c'è ancora qualche banner malizioso

http://adsy.publy.it/www/delivery/af...l%253D//packed

su + pagine diverse..

sampei.nihira · 03-01-2012, 17:49

Quote:

Originariamente inviato da igiolo

no c'è ancora qualche banner malizioso

http://adsy.publy.it/www/delivery/af...l%253D//packed

su + pagine diverse..

Premesso che ovviamente ciò non dovrebbe accadere (in teoria) in pratica si verifica ovviamente molto poco, più il sito web è controllato, occorre per gli utenti prendere sempre delle contromisure.
Noterai che con Opera + il blocco dei contenuti,in questo caso la minaccia è bloccata sul nascere.
Non ho verificato con altri browser.
Noterai inoltre che il browser è sotto tutela sandboxie.......:

Uploaded with ImageShack.us

GmG · 03-01-2012, 18:02

Quote:

Originariamente inviato da igiolo

a tutt'ora rompe ancora..hmm...sfrutta cosa,giusto per far capire a me mortale?

Così imparo qualcosa..

riposto nel caso kaspersky mi ridia allarmi.
ciao

Praticamente la pagina che viene caricata oltre a mostrare il banner carica anche un javascript da un sito maligno che cerca di identificare il software in uso e relative versioni di :

browser (Firefox, Internet explorer, etc.)
Plugin quali Oracle Java, Adobe Reader, Adobe Flash player
Sistema operativo

per sfruttare falle nei suddetti software per eseguire un programma maligno.

In generale le vulnerabilità più sfruttate recentemente sono

per JAVA CVE-2011-3544 (JRE 7 / JRE 6 Update 27 e versioni precedenti)

per Flash Player CVE-2011-2140 / CVE-2011-2110 / CVE-2011-0611 (versione 10.3.183.5 e precedenti)

Se hai le versioni più recenti di browser e plugin puoi stare relativamente al sicuro.

Il sito in questione sfrutta vulnerabilità per java (penso la CVE-2011-3544), pdf (ma non so che versioni di Adobe Reader), windows mdac (vecchissima vulnerabilità risolta con patch già nel 2006) e probabilmente altre

**Chill-Out** · 03-01-2012, 18:40

Occhiata veloce <iframe src="hxxp://yahti.in/stream?1" name="Twitter"

sbaglio o vai dritto su Twitter ?

GmG · 03-01-2012, 18:53

Quote:

Originariamente inviato da Chill-Out

Occhiata veloce <iframe src="hxxp://yahti.in/stream?1" name="Twitter"

sbaglio o vai dritto su Twitter ?

la prima volta che viene richiamato rimanda a

tr12909.uni[DOT]me/i/fors-gloom
g1omx313559.uni[DOT]me/i/fors-gloom

Poi se viene richiamato reindirizza su Twitter.

**Chill-Out** · 03-01-2012, 19:16

Quote:

Originariamente inviato da GmG

la prima volta che viene richiamato rimanda a

tr12909.uni[DOT]me/i/fors-gloom
g1omx313559.uni[DOT]me/i/fors-gloom

Poi se viene richiamato reindirizza su Twitter.

Al momento

HTTP 404 NOT FOUND

GmG · 03-01-2012, 22:16

Pare che adsy.publy[dot]it/www/delivery/afr.php sia stato ripulito.

Non contiene più lo script a yahti[dot]in/stream?1

**Chill-Out** · 03-01-2012, 22:26

Quote:

Originariamente inviato da GmG

Pare che adsy.publy[dot]it/www/delivery/afr.php sia stato ripulito.

Non contiene più lo script a yahti[dot]in/stream?1

Si, l'iframe è sparito

igiolo · 07-02-2012, 12:58

ci siamo ancora a dietro..

http://www.securelist.com/en/descrip...Script.Iframer

sempre adsy.it

GmG · 07-02-2012, 15:49

Confermo ho informato Paolo Corsini

Iframe malevolo contenuto in afr.php
trafficprogress[DOT]org/stream?1

che reiderizza a noavastandsophosandfuckoffallavs[DOT]uni[DOT]me/[...]

Unax · 07-02-2012, 16:19

127.0.0.1 adsy.publy.it

igiolo · 07-02-2012, 17:12

Quote:

Originariamente inviato da GmG

Confermo ho informato Paolo Corsini

Iframe malevolo contenuto in afr.php
trafficprogress[DOT]org/stream?1

che reiderizza a noavastandsophosandfuckoffallavs[DOT]uni[DOT]me/[...]

cioè lo scopo?
Noavast ecc?

GmG · 07-02-2012, 18:02

E' il nome del sito malevolo.
A volte i cybercriminali prendono in giro le compagnie di antivirus con vari messagi in esegubili, script, nomi di file e di siti etc.
come in questo caso

03-01-2012, 15:53	#1
igiolo Senior Member Iscritto dal: Mar 2001 Città: Reggio Emilia Messaggi: 6950	HEUR:Trojan.Script.Iframer su hwupgrade.it Salve, è tutto il gg che il motore euristico di kaspersky mi segnala HEUR:Trojan.Script.Iframer su un ads del sito http://adsy.publy.it/www/delivery/afr. php?zoneid=500&cb=INSERT_RANDOM_NUMBER_H ERE&ct0=http://adclick.g.doubleclick.net/ aclk%253Fsa%253DL%2526ai%253DBx_iHPhQDT- ClMtHD0AWK0pHEBva2xogCAAAAEAEg_s2qDjgAWO ad4eIjYP3y_IPcELIBEHd3dy5od3VwZ3JhZGUuaX Che dite falso allarme vero? saluti __________________ ..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco..

03-01-2012, 16:50	#3
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	GmG il link di VT è inefficiente. * Contrordine adesso è OK. * Il blocco dei contenuti di Opera previene il tutto. Ultima modifica di sampei.nihira : 03-01-2012 alle 16:54.

03-01-2012, 16:52	#4
*Paolo Corsini* Amministratore Iscritto dal: Jul 1999 Città: Luino Messaggi: 4838	Grazie della segnalazione; sembra essere legato ad un servizio banner esterno. Stiamo indagando __________________ "I decided to go for a little run." - Follow me on Strava

03-01-2012, 17:30	#7
igiolo Senior Member Iscritto dal: Mar 2001 Città: Reggio Emilia Messaggi: 6950	a tutt'ora rompe ancora..hmm...sfrutta cosa,giusto per far capire a me mortale? Così imparo qualcosa.. riposto nel caso kaspersky mi ridia allarmi. ciao __________________ ..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco..

03-01-2012, 17:33	#8
igiolo Senior Member Iscritto dal: Mar 2001 Città: Reggio Emilia Messaggi: 6950	no c'è ancora qualche banner malizioso http://adsy.publy.it/www/delivery/af...l%253D//packed su + pagine diverse.. __________________ ..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco..

03-01-2012, 18:40	#11
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Occhiata veloce <iframe src="hxxp://yahti.in/stream?1" name="Twitter" sbaglio o vai dritto su Twitter ? __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-01-2012, 22:16	#14
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2055	Pare che adsy.publy[dot]it/www/delivery/afr.php sia stato ripulito. Non contiene più lo script a yahti[dot]in/stream?1

07-02-2012, 12:58	#16
igiolo Senior Member Iscritto dal: Mar 2001 Città: Reggio Emilia Messaggi: 6950	ci siamo ancora a dietro.. http://www.securelist.com/en/descrip...Script.Iframer sempre adsy.it __________________ ..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco..

07-02-2012, 15:49	#17
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2055	Confermo ho informato Paolo Corsini Iframe malevolo contenuto in afr.php trafficprogress[DOT]org/stream?1 che reiderizza a noavastandsophosandfuckoffallavs[DOT]uni[DOT]me/[...]

07-02-2012, 16:19	#18
Unax Senior Member Iscritto dal: Oct 2008 Messaggi: 6596	127.0.0.1 adsy.publy.it __________________ Il Ragazzo con la giardinetta CIAO 2021 Una canzone d'amore (cover Tommy Johansson)

07-02-2012, 18:02	#20
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2055	E' il nome del sito malevolo. A volte i cybercriminali prendono in giro le compagnie di antivirus con vari messagi in esegubili, script, nomi di file e di siti etc. come in questo caso

Strumenti
Mostra una versione stampabile Invia questa pagina per email