venerdì 25 aprile 2008

Sito Le chicche di Cala con javascript offuscato

Juninho85 ha lasciato un nuovo commento sul blog riferito alla presenza di un javascript offuscato sul sito "Le chicche di Cala", sito che tra l'altro seguo spesso in quanto pubblica interessanti articoli.

In effetti il codice della homepage presenta, come segnalato questo javascript offuscato


la cui decodifica porta a questo codice (la decodifica e' stata eseguita semplicemente limitando la funzione write con il comando TEXTAREA ed eseguendo lo script, per sicurezza, all'interno di un pc virtuale)

che linka una pagina con altro javascript offuscato


Aggiornamento

Il codice javascript e' stato rimosso dal sito; comunque a chi interessa dare una occhiata, chiaramente con le dovute precauzioni (Noscript attivo se si usa Firefox), e' ancora disponibile in cache Google.

Edgar

6 commenti:

Juninho85 ha detto...

ciao edgar,ho utilizzato il tuo tool per provare a decodificare lo script,invano...
come hai proceduto per decodificarlo?malzilla?se si con quali passaggi?:)

Edgar Bangkok ha detto...

Il mio tool era piu' che altro un esperimento... serve solo per decodificare semplici scripts ma non certo questi che sono molto ben 'offuscati'
Tra l'altro il secondo script usa la funzione callee che rende la cosa un po piu' complessa
Io uso di solito malzilla ma devo dire che su questi ultimi script la decodfica non mi pare semplice.
Il primo script l ho decodificato semplicemente aggiugendo nel codice la funzione document.write(<"textarea row=50 cols=50>") ed esegundo il codice cosi' modificato ne browser ma per sicurezza all'inteno di un pc virtuale.
Saluti

Juninho85 ha detto...

grazie della precisazione :)
intanto pare che il sito sia stato bonificato

Davide Calabrò ha detto...

Sito sistemato in seguito ad un attacco, magari la prossima volta se lo segnali prima al sito stesso è meglio, se ci diamo una mano tra noi blogger è meglio.

Ciao

Edgar Bangkok ha detto...

Posso dirti che appena ne sono venuto a conoscenza, da parte diJuninho85, e verificato che era effettivamente presente il codice offuscato, CONTEMPORANEAMENTE alla pubblicazione dell'accaduto sul mio blog ho provveduto a segnalarlo sul forum del tuo blog per mettere sull'allerta sia chi frequenta il blog ed che anche chiaramente chi amministra il forum e quindi presumo sia comunque in contatto con chi gestisce il blog.
Altri recapiti per per rendere ancora piu' rapida la segnalazione non ne ho trovati, o meglio esiste sulla tua homepage un link a form contattami ma non ero sicuro che giungesse velocemnete a destinazione il messaggio.
Non mi pare, o se c'e' mi scuso ma non lho vista, che esista sulla home page una tua mail diretta
Inoltre, visto che stiamo parlando, molto probabilmenti di MBR ROOTKIT si tratta di malware abbastanza pericoloso e non rendere pubblico il problema vuole dire probabilmente rendere parecchi pc infetti prima che il tutto venga risolto.

Ciao

Juninho85 ha detto...

io ho pure provato a mandare una mail diretta,purtroppo il sito mi restituiva un errore del tipo come se stessi cercando di inviare qualche codice malevolo...ovvio che non lo stessi facendo dato che non schierato nel dettaglio cosa c'era che non andava!