[NEWS] Nuovi domini Asprox e situazione siti .IT aggiornata 18 luglio

[Edgar Bangkok]

18 luglio 2008

Sembra che la creazione di nuovi nomi di dominio collegati alla botnet Asprox non conosca pause considerato che nelle ultime ore abbiamo assistito alla comparsa di nuovi nomi di dominio tra cui anche alcuni .ru e .eu (fonte http://www.dynamoo.com/blog/)

Quote:

# butdrv(dot)com
# cdrpoex(dot)com
# cliprts(dot)com
# movaddw(dot)com
# tctcow(dot)com
# usabnr(dot)com
# ausbnr(dot)com
# adwnetw(dot)com
# adpzo(dot)com
# brcporb(dot)ru
# btoperc(dot)ru
# korfd(dot)ru
# grtsel(dot)ru
# cdport(dot)eu
# gbradp(dot)com
# gitporg(dot)com
# hdrcom(dot)com
# loopadd(dot)com
# nopcls(dot)com
# pyttco(dot)com
# porttw(dot)mobi
# bkpadd(dot)mobi
# gbradde(dot)tk
# gbradde(dot)tk

Ecco, ad esempio, un 'aggiornato' sito che presenta link a dominio Asprox .ru
(img sul blog)
Nonostante il numero complessivo di siti italiani colpiti sia al momento abbastanza contenuto ci sono sempre nuovi siti compromessi che vanno a sostituire quelli bonificati.
Questo un attuale report :
(img sul blog)
tra cui compare una pagina che si distingue per il numero di riferimenti allo script ngg.js all'interno del codice (quasi 3000 presenze della stringa ngg.js)
(img sul blog)
Si tratta del sito di una biblioteca italiana con centinaia di riferimenti a ngg.js che fortunatamente ed almeno in parte, sono posizionati all'interno del codice, in maniera tale da non poter essere eseguiti quando si visitasse la pagina.
(img sul blog)
Su altre pagine del medesimo sito, invece, lo script sembrerebbe posizionato correttamente e potenzialmente pericoloso se l'esecuzione degli script java e' abilitata nel browser che si sta utilizzando.
Come al solito una scansione piu' in dettaglio del contenuto della biblioteca online dimostra che non si tratta di una sola pagina colpita, ma vista la natura di questo genere di attacchi, di alcune decine di pagine.
(img sul blog)
Altri due casi interessanti dimostrano come a volte l'inserimento dei codici pericolosi si risolva nel rendere inutilizzabili alcuni menu' di scelta inserendo nella drop-down list parte dello script java.
(img sul blog)
ed anche
(img sul blog)
Questo invece un sito nel quale lo script e' 'finito' nella barra del titolo.
(img sul blog)

Per concludere un caso invece che potrebbe essere pericoloso
(img sul blog)
in quanto gli scripts appaiono correttamente nel codice della pagina che ospita una lista quasi completa ed aggiornata di links a siti Asprox attualmente attivi.
Una spiegazione di questo lungo ed aggiornato campionario di links alla botnet Asprox potrebbe essere la totale o parziale NON gestione dei contenuti del sito dedotta ad esempio dalla presenza di una pagina di ricerca e prenotazione camere online ferma all'anno 2007 !
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/