sabato 17 maggio 2008

Un particolare dominio presente su siti compromessi.

Si tratta, come riporta malwaredomains.com, del dominio banner82[dot]com che come al solito e' utilizzato come vettore di malware in una serie di nuovi siti compromessi.

Questo un codice di un sito attaccato e che presente al suo interno il link a banner82


Si tratta in prevalenza di siti USA mentre al momento non sembrerebbero coinvolti domini .IT



La particolarita' risiede non tanto nell'attacco a cui ormai assistiamo ogni giorno , ma nell'IP di banner82

Infatti se proviamo ad eseguire un nslookup si nota che

Come si vede i TTL (time to live) della cache DNS sono settati a 600 secondi (10 minuti) e questo fa supporre che si tratti questa volta di un dominio che utilizza la tecnologia fast flux per rendere nascosto il reale IP di provenienza, cosa che normalmente non si rileva , in simili siti che distribuiscono malware.

Chiaramente, a questo punto, per evitare problemi si puo' bloccare il dominio ma non l'IP in quanto, come visto, dovrebbe cambiare con una certa frequenza.

Edgar

Nessun commento: