sabato 3 maggio 2008

Due meglio di uno

Rivisitando qualche sito tra quelli compromessi i giorni scorsi da parte di script java si nota su alcuni la presenza di piu' di uno script malevolo come se si fosse proceduto ad attaccare ulteriormente alcuni siti gia' compromessi e non ancora bonificati e aggiornati al riguardo di eventuali vulnerabilita' riscontrate.

La cronologia degli attacchi riferita agli script presenti puo' essere cosi' riassunta

venerd? 25 aprile 2008:
Alcuni siti italiani presentavano uno script di cui riporto un frammento di codice

che deoffuscato presentava un link a:

ormai noto responsabile dell'installazione sul pc del pericoloso MBR rootkit.

Comuque era gia' presente ma non ancora evidenziato un altro script di cui vediamo il codice ad esempio nella pagina del sito di Monica Bellucci

che decodificato propone un link a

che in pratica corrisponde a pagina hostata su IP 66.240.209.93 responsabile sempre della diffusione di MBR Rootkit anche se sembrerebbe che altri domini come ad esempio eaoafir.com e hnoafir.com sarebbero ora hostati su server all'indirizzo IP 71.6.218.207 (California USA)

E' interessante notare come alcuni siti abbiano presentato solo uno script che ora, pero', viene preceduto da un link diretto in chiaro a eaoafir.com.

Questo il codice presentato da www.deegees.it salvato in precedenza, dove non appariva il link in chiaro alla pagina che distribuisce MBR rootkit

e come appare attualmente con il doppio script.

Come altro esempio il sito di Sabrina Salerno appare con 2 scripts pericolosi

mentre quello di Monica Bellucci, come visto in precedenza, ne riporta solo uno offuscato.

Al momento la decodifica dello script punta come dicevamo prima, a ces2vif.com.

Come si vede per essere sicuro del risultato, chi ha attaccato i siti ha voluto, in molte casi, duplicare le possibilita' di infettare che visita le pagine compromesse proponendo il link sia in chiaro che attraverso codice offuscato.

Tra l'altro una scansione con il tool webscanner dei siti gia' rilevati in precedenza come compromessi dimostra che la maggior parte presenta ancora il codice malevolo online e non e' stata bonificata.

Se chi amministra i siti non provvedera' ad eliminare le vulnerabilita' presenti si puo' essere sicuri che a questi attacchi ne seguiranno altri a breve continuando cosi' a diffondere malware in rete.

Relativamente alla diffusione di questi attacchi a siti italiani posto 2 link interessanti:

Cambia il server dell'infame MBR rootkit

ed in inglese

One Year Later, Italian Job Still Working Overtime


Edgar

Nessun commento: