sabato 10 maggio 2008

Una breve analisi dello script presente sui siti colpiti oggi

L'attaco odierno, di cui il sito TG2 RAi, e' stato il piu clamoroso bersaglio, ha scaricato nei siti colpiti quantita' 'industriali' (fino a quasi 600 codici) di un javascript che esgue un link automatico a


che si trova ostato su server cinese

Questo il dettaglio dello script, che viene linkato e che andiamo a decodificare


Il risultato e' un'altro script che distingue tra il linguaggio utilizzato; se il linguaggio utilizzato dal browser e' diverso da quello cinese viene eseguito un link in automatico


ad una pagina sempre con whois Cina


Questo e il dettaglio della pagina linkata

che presenta oltre ad un 'colorito' messaggio anche vari iframes che contengono diversi exploit

Alcuni contenuti si possono gia' catalogare dal nome stesso dell'iframe come ad esempio quello denominato real che contiene exploit (gia' noto) che sfrutta vulnerabilita' real player (si puo' vedere che l exploit testa differenti versioni del noto lettore multimediale)
Inoltre altri codici colpiscono vulnerabilita' MDAC ecc ..

In ogni caso l'attacco odierno, sembra che si sia risolto piu' che altro in una azione dimostrativa in quanto, come gia' detto, il fatto che le pagine dei siti colpiti siano state rese praticamente non visualizzabili dal caotico inserimento dei codici pericolosi, ha reso impossibile attuare una diffusione in maniera nascosta del malware.

In altre parole i danni sarebbero stati piu' elevati se anche 'iniettando' nei siti un solo script lo si fosse fatto in maniera del tutto invisibile per chi visitava le pagine colpendo cosi' sicuramente molti piu' utenti Internet.

Edgar

Nessun commento: