Facendo una scansione dei noti ranges IP che hostavano ultimamente il pericoloso link a MBR rootkit e' capitato di trovare altri siti con script offuscati, diversi da quello cercato, ma comunque sempre pericolosi.
Vediamo ad esempio questa pagina
con whois
che contiene questo codice offuscato
Una volta deoffuscato abbiamo il seguente link a
La pagina in questione e' hostata su server russo ed e' compresa in un range IP sinonimo di script pericolosi e malware di vario genere
Il codice pericoloso e' contenuto in un iframe nascosto nella pagina che altrimenti sembrerebbe solo fornire, a chi la visita, un messaggio di avvertimento sulla non autorizzazione ad accedere al sito.
In realta' invece abbiamo un javascript offuscato che reindirizza ad altre pagine con malware.
Alcune info su script simili si possono trovare su questa pagina di Bit Defender.
Edgar
Nessun commento:
Posta un commento