sabato 14 giugno 2008

Aggiornamenti Asprox

Una scansione effettuata utilizzando il tool e nuovi nomi di dominio Asprox botnet (advabnr(dot)com, adsitelo(dot)com, bigadnet(dot)com advertbnr(dot)com, bannerupd(dot)com cookieadw(dot)com) dimostra che siamo ancora in presenza di un elevato numero di pagine colpite piu' o meno pesantemente, in data recente.

Ecco il parziale report generato con alcuni siti veramente saturi di script

ed ecco come si presentano alcune homepages o pagine interne ai siti colpiti





I vari domini Asprox al momento sono online e utilizzano sempre fastflux.

Edgar

2 commenti:

Anonimo ha detto...

da aggiungere clsidw(dot)com, che è comparso dopo aver ripulito il DB SQLServer ieri da tutti i record "infetti".

Almeno uno sito, ospitato su un server farm (cluster IIS shared+SQL Server 2000) presso BT-Albacom/Roma (il loro Esercizio IDC del centro Torre Spaccata) è stato infetto.

Edgar Bangkok ha detto...

Le ultime pagine Asprox sono, a quanto vedo in giro, updatebnr(dot)com, datajto(dot)com ed anche clsidw(dot)com come anche tu hai segnalato;
Al momento non mi pare siano ancora presenti su molti server IT ma
vedremo cosa succede nelle prossime ore.
Interessante il fatto che mi confermi e cioe' '.......dopo aver ripulito il DB SQLServer ieri da tutti i record "infetti"... e comparso .clsidw(dot)com" il che confermerebbe un continuo tentativo di sql injection per attaccare il maggior numero di pagine possibile, anche in queste ore.