C'e anche da dire che sembra che ci siano pagine su Geocities che non contengono codice offuscato ma un redirect alla pagina con il falso plugin da scaricare.
Questa pagina ad esempio contiene un redirect in chiaro geocities.com/MediciChavez7861
Il numero dei siti compromessi di utenti Geocities si aggirerebbe sul migliaio e il codice javascript una volta decodificato punterebbe all'IP 58.65.238.56. (Un whois dell'IP punta a Hong Kong)
La pagina presente all'indirizzo IP cerca di far scaricare un falso plugin dal nome iPIX-installer.exe facendo credere che sia indispensabile per visualizzare le foto presenti sulla pagina; pare che una volta attivato il malware si connetta ad un server in Turchia per uploadare i dati catturati dal computer che lo ospita.
Esaminato con Virus Total il file eseguibile dimostra la sua pericolosita'.
Sembra che alcuni AV, tra cui NOD32, non riconscano comunque il malware.Queste nuove mails di spam collegate a Geocities potrebbe forse significare che chi gestisce stormworm abbia messo la botnet a disposizione di altri gruppi.
Edgar
Nessun commento:
Posta un commento