venerdì 27 giugno 2008

Alcune ricerche in rete di pagine con link a malware (parte seconda)

Nel post precedente abbiamo visto la presenza in rete di forum contenenti decine se non centinaia di links a falsi video 'porno', che in realta, se cliccati, tentano di far scaricare falsi codec video o player.(malware di solito variante di Zlob)

Un altro tentativo di diffondere malware in rete sfrutta invece l'inserimento in maniera nascosta all'interno di 'normali' siti di gruppi di pagine con links a pagine che di solito vengono eseguiti in automatico con l'ausilio di appositi scripts
Altre volte invece abbiamo direttamente l'inserimento di uno script all'interno del codice della pagina colpita senza la presenza di pagine aggiunte.

Quello che vedremo ora e' un interessante ed attuale esempio che contiene sullo stesso sito le due tipologie (script offuscato e pagine aggiunte al sito) e che non necessariamente e' frutto di uno stesso attacco ma potrebbe anche essere il risultato di due successivi tentativi di diffondere malware.

Si tratta di sito relativo ad un hotel locato sull'isola d'Ischia, e di cui vediamo la homepage.

Dalle info al riguardo di tariffe ed offerte sembrerebbe che il sito venga aggiornato con una certa frequenza ed al momento risulti attivo.

Questo il codice della homepage da cui si nota la presenza di uno script offuscato

che deoffuscato, questa volta, riporta nel codice un iframe nascosto con links a sito sicuramente poco affidabile:

Come si vede solo attivando gli scripts, si nota la presenza di un nuovo iframe sulla pagina e relativo links a sito

che un whois indica come registrato a nome di

ben conosciuto da chi si occupa di malware in rete.

Code dicevo questa volta abbiamo sullo stesso sito anche la presenza di pagine nascoste che propongono, tra gli altri, links ad un motore di ricerca per siti 'porno'

Questa e' una immagine che illustra la struttura del sito dell'Hotel e che dimostra come siano state aggiunte una buona quantita' di pagine che puntano al sito di ricerca

locato questa volta su un altro ben conosciuto range IP noto per contenere pagine pericolose.

Edgar

Nessun commento: