Riprendendo un post apparso sul sito di PC al Sicuro riferito alla presenza di nuovi siti con problemi di iframe e javascript offuscato ho eseguito una nuova scansione con il mio tool Webscanner del range di indirizzi 217.64.193.7 e 217.64.193.100 (server S e e w e b).
Come avevo gia' evidenziato in un post di qualche settimana fa sembra che si tratti di nuovi javascript offuscati che in parte sono andati a sostituire quelli presenti qualche mese fa' ai tempi dell'attacco massiccio a diversi server italiani.
Come avevo gia' evidenziato in un post di qualche settimana fa sembra che si tratti di nuovi javascript offuscati che in parte sono andati a sostituire quelli presenti qualche mese fa' ai tempi dell'attacco massiccio a diversi server italiani.
Cito come esempio il sito vvv.franciacortaonline.it che in un mio post di qualche mese fa vedeva la presenza di...
“ ....... uno script che reindirizza all IP 202.75.33.238 ( server che si trova in Malesia che al momento no mi pare attivo....)
e questo era il report
==============================================
vvv.barbados4u.com
vvv.franciacortaonline.it
vvv.viniquattrocchi.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.91
=============================================
Ora il sito di cui sopra contiene un diverso script
Un altro esempio:
il sito vvv.hippocampo.it contieme un javascrip che deoffuscato
........................................"http://vvv.chinkchoi.com/asp/index.php?"+Math.round(Math.random()*330864)+"1c9c\"................................
Il codice e' simile al contenuto del javascript di franciacortaonline ma cambia il link al sito.
Questa volta, nonostante il link punti a un codice php ricostruito nello script si puo' anche visualizzare la pagina principale del dominio che presenta, tra l'altro, dei files eseguibili e una pagina ( ckh ) con codice javascript offuscato simile a quello attualmente presente sulle pagine di WorldArcadeGames
Questa volta, nonostante il link punti a un codice php ricostruito nello script si puo' anche visualizzare la pagina principale del dominio che presenta, tra l'altro, dei files eseguibili e una pagina ( ckh ) con codice javascript offuscato simile a quello attualmente presente sulle pagine di WorldArcadeGames
Il file Dream3Builder.exe una volta esaminato con VirusTotal rivela tutta la sua pericolosita'
--------------------------------------------------------------------
Complete scanning result of "Dream3Builder.exe", processed in VirusTotal at 10/11/2007 10:13:54 (CET).
[ file data ]
* name: Dream3Builder.exe
* size: 21890
* md5.: 6952f148e16aa324e5e2b12ef50dca96
* sha1: 21e1dd1eccdc8349db8dc2e9cd589f9316f202dd
[ scan result ]
AhnLab-V3 2007.10.11.2/20071011 found nothing
AntiVir 7.6.0.20/20071011 found [TR/Dldr.Tiny.LS]
Authentium 4.93.8/20071009 found nothing
Avast 4.7.1051.0/20071010 found [Win32:Small-HSA]
AVG 7.5.0.488/20071010 found nothing
BitDefender 7.2/20071011 found nothing
CAT-QuickHeal 9.00/20071010 found [(Suspicious) - DNAScan]
ClamAV 0.91.2/20071011 found [PUA.Packed.UPack]
DrWeb 4.44.0.09170/20071011 found nothing
eSafe 7.0.15.0/20071010 found [suspicious Trojan/Worm]
eTrust-Vet 31.2.5203/20071011 found [Win32/Chepvil!generic]
Ewido 4.0/20071010 found nothing
F-Prot 4.3.2.48/20071010 found nothing
F-Secure 6.70.13030.0/20071011 found nothing
FileAdvisor 1/20071011 found nothing
Fortinet 3.11.0.0/20071011 found nothing
Ikarus T3.1.1.12/20071011 found [Trojan-Spy.Win32.Bancos.ha]
Kaspersky 7.0.0.125/20071011 found nothing
McAfee 5138/20071010 found [New Malware.n]
Microsoft 1.2908/20071011 found nothing
NOD32v2 2586/20071011 found [a variant of Win32/TrojanDownloader.Nurech.NBV]
Norman 5.80.02/20071010 found [W32/Suspicious_U.gen]
Panda 9.0.0.4/20071010 found [Suspicious file]
Prevx1 V2/20071011 found nothing
Rising 19.44.31.00/20071011 found nothing
Sophos 4.22.0/20071011 found [Mal/Packer]
Sunbelt 2.2.907.0/20071011 found [VIPRE.Suspicious]
Symantec 10/20071011 found nothing
TheHacker 6.2.6.082/20071010 found [W32/Behav-Heuristic-060]
VBA32 3.12.2.4/20071010 found [suspected of Embedded.Trojan-Downloader.Win32.Tiny.ls]
VirusBuster 4.3.26:9/20071010 found [Packed/Upack]
Webwasher-Gateway 6.0.1/20071011 found [Trojan.Dldr.Tiny.LS]
[ notes ]
packers: Upack
packers: UPack
packers: UPack
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
------------------------------------------------------------------------
Un po di altri codici deoffuscati presenti in altre pagine del range S e e w e b:
dsmarsica.it
.................................http://vvv.gerbalaif.info/tests.php?"+Math.round(Math.random()*15004)+"e67\" width=484 height=31 style=....................................
fotoottica2f.it
........................http://crunet.info/out.php" ..................................
ecc....
Inoltre le date dei files sorgenti html rilevate da webscanner sono recenti e questo confermerebbe che si tratta di siti compromessi di recente ....
Altro riferimento al riguardo di questo range di indirizzi IP e' quanto era stato scritto sul blog di Hardavare Upgrade in cui GmG postava ' ....... ho scritto un e-mail a s e e w e b per segnalare l'accaduto e mi ha risposto che si tratta di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma s e e w e b. .....” ma a distanza di tempo mi pare che la cosa continui... ed il server sia sempre quello ...
Per finire questo e' un report di webscanner per i siti del range che ho preso in considerazione nel post.
Altro riferimento al riguardo di questo range di indirizzi IP e' quanto era stato scritto sul blog di Hardavare Upgrade in cui GmG postava ' ....... ho scritto un e-mail a s e e w e b per segnalare l'accaduto e mi ha risposto che si tratta di un vecchissimo server frutto di una acquisizione e che stanno migrano i clienti alla piattaforma s e e w e b. .....” ma a distanza di tempo mi pare che la cosa continui... ed il server sia sempre quello ...
Per finire questo e' un report di webscanner per i siti del range che ho preso in considerazione nel post.
----------------------------------------------------------------
List ONLY sites filtered by string.
Report generated by WEBSCANNER by Edgar 2007
IP adr. range and date time = 217.64.193.7_100_11102007_1539
Filter sites with string = unescape
Number of show results on each page = 50
WGET timeout seconds = 2 WGET number retries to connect site = 2
----------------------------------------------------------------
vvv.cadandrean.it
vvv.bermar.net
----------------------------------------------------------------
Num. 2 SITES at IP 217.64.193.7
================================================================
vvv.fotoottica2f.it
vvv.brokerass.it
vvv.hippocamp.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.19
================================================================
vvv.dsmarsica.it
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.39
================================================================
vvv.matermatuta.com
vvv.mandato.net ( riesce persino ad attivare NOD 32 da webscanner E' l'unico ....!!!!)
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.71
================================================================
vvv.franciacortaonline.it
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.91
Se qualcuno vuole segnalare altri range IP da sottoporre a webscanner puo' farlo nei commenti o scaricare webscanner ed eseguire la scansione, mi pare che sarebbe interessante per avere una mappa aggiornata della situazione attuale al riguardo di pagine di hoster italiani compromesse da malware.
Edgar
3 commenti:
i range a cui fa riferimento Marco su pc al sicuro sono
212.25.179.0 -> 255
217.64.199.0 -> 255
Best Regards,
GmG
Ciao,
si sa a dove puntano gli iframe (esiste un nuovo server centrale) ?
Al momento sono rimasto a questi (risalenti a quest'estate, più o meno):
64.62.137.149
194.146.207.220
58.65.239.180
64.38.33.13
194.146.207.129
194.146.207.18
ciao e complimenti
Grazie
Provo un po a fare la scansione di un range che mi avete indicato e vediamo cosa salta fuori.
Edgar
Posta un commento