Si tratta di due scripts trovati durante la recente scansione effettuata con il tool per verificare nuovi domini .it compromessi dalla recente ondata di attacchi Asprox.
La loro presenza e' elevata specialmente su forum e il codice javascript punta a pagina che alterna la distribuzione di malware e false applicazioni antivirus .
Questo lo script presente in prevalenza su forum anche italiani
anche se, in qualche caso, il sito che hosta lo script ( whois Russia)
compare come vediamo su pagine web
Lo script, offuscato in maniera semplice
deoffuscato contiene un link a
(whois USA di noto hoster che compare in blacklist di IP pericolosi)
La prima volta che ci si connette al sito si viene reindirizzati a pagine (whois Lituania e Germania)
contenenti rogue application antimalware
poco o niente riconosciute dagli antivirus
mentre , per le volte successive, si viene portati su pagina (whois UK)
con falso player e con richiesta di scaricare l'activex necessario al funzionamento
in realta' malware che una volta tanto non sembra essere la consueta variante ZLOB associata ad un falso player video.
Una analisi con VT effettuata in tempi diversi dimostra che anche questa volta il codice del malware viene modificato per impedirne l'identificazione
Come si vede i due files con lo stesso nome hanno anche diversa lunghezza e nel caso piu recente alcuni Av non riconoscono piu' il pericolo
Interessante la grande diversificazione dell hosting dei codici pericolosi che in sequenza ci porta dalla Russia agli USA per poi reindirizzarci su Lituania, Germania ed anche UK per il falso activex.
Come sempre, vista la ridotta efficacia di riconoscimento da parte dei softwares antimalware, e' meglio abilitare nel browser un blocco degli scripts, cosa che in questi casi ci garantisce un minimo di sicurezza in piu'
Edgar
La loro presenza e' elevata specialmente su forum e il codice javascript punta a pagina che alterna la distribuzione di malware e false applicazioni antivirus .
Questo lo script presente in prevalenza su forum anche italiani
anche se, in qualche caso, il sito che hosta lo script ( whois Russia)
compare come vediamo su pagine web
Lo script, offuscato in maniera semplice
deoffuscato contiene un link a
(whois USA di noto hoster che compare in blacklist di IP pericolosi)
La prima volta che ci si connette al sito si viene reindirizzati a pagine (whois Lituania e Germania)
contenenti rogue application antimalware
poco o niente riconosciute dagli antivirus
mentre , per le volte successive, si viene portati su pagina (whois UK)
con falso player e con richiesta di scaricare l'activex necessario al funzionamento
in realta' malware che una volta tanto non sembra essere la consueta variante ZLOB associata ad un falso player video.
Una analisi con VT effettuata in tempi diversi dimostra che anche questa volta il codice del malware viene modificato per impedirne l'identificazione
Come si vede i due files con lo stesso nome hanno anche diversa lunghezza e nel caso piu recente alcuni Av non riconoscono piu' il pericolo
Interessante la grande diversificazione dell hosting dei codici pericolosi che in sequenza ci porta dalla Russia agli USA per poi reindirizzarci su Lituania, Germania ed anche UK per il falso activex.
Come sempre, vista la ridotta efficacia di riconoscimento da parte dei softwares antimalware, e' meglio abilitare nel browser un blocco degli scripts, cosa che in questi casi ci garantisce un minimo di sicurezza in piu'
Edgar
Nessun commento:
Posta un commento