sabato 21 giugno 2008

Ancora scripts pericolosi

Si tratta di due scripts trovati durante la recente scansione effettuata con il tool per verificare nuovi domini .it compromessi dalla recente ondata di attacchi Asprox.
La loro presenza e' elevata specialmente su forum e il codice javascript punta a pagina che alterna la distribuzione di malware e false applicazioni antivirus .

Questo lo script presente in prevalenza su forum anche italiani

anche se, in qualche caso, il sito che hosta lo script ( whois Russia)
compare come vediamo su pagine web

Lo script, offuscato in maniera semplice

deoffuscato contiene un link a

(whois USA di noto hoster che compare in blacklist di IP pericolosi)

La prima volta che ci si connette al sito si viene reindirizzati a pagine (whois Lituania e Germania)
contenenti rogue application antimalware

poco o niente riconosciute dagli antivirus

mentre , per le volte successive, si viene portati su pagina (whois UK)

con falso player e con richiesta di scaricare l'activex necessario al funzionamento

in realta' malware che una volta tanto non sembra essere la consueta variante ZLOB associata ad un falso player video.

Una analisi con VT effettuata in tempi diversi dimostra che anche questa volta il codice del malware viene modificato per impedirne l'identificazione



Come si vede i due files con lo stesso nome hanno anche diversa lunghezza e nel caso piu recente alcuni Av non riconoscono piu' il pericolo

Interessante la grande diversificazione dell hosting dei codici pericolosi che in sequenza ci porta dalla Russia agli USA per poi reindirizzarci su Lituania, Germania ed anche UK per il falso activex.

Come sempre, vista la ridotta efficacia di riconoscimento da parte dei softwares antimalware, e' meglio abilitare nel browser un blocco degli scripts, cosa che in questi casi ci garantisce un minimo di sicurezza in piu'

Edgar

Nessun commento: