domenica 1 giugno 2008

Logid83(dot)com (aggiornamento)

Visitando oggi il sito di cui ho scritto in precedenza, e ricaricando lo script hostato da Logid83(dot)com e' cambiato il link a cui punta.

Questo lo script ieri


e questo attualmente

Si nota quindi come oltre ad utilizzare la tecnologia botnet fastflux questi siti contengano script che vengono frequentemente modificati per aumentarne l'efficacia nel distribuire malware.

Refer68(dot)com e' comunque sempre attivo ma in ogni caso il tentativo di caricare piu' volte questo links non e' possibile in quanto dopo la prima volta che viene caricata la pagina per le successive si viene reindirizzati su MSN.com in quanto probabilmente viene salvato l'IP di chi 'visita' la pagina.
A riprova di questo usando un proxy e ricaricando refer86 si ritorna sulla pagina iniziale con gli script pericolosi.

Edgar

5 commenti:

Sbronzo di Riace ha detto...

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://limiter.evonet.ro/
Information: Contains suspicious code HEUR/HTML.Malware

Generated by AntiVir WebGuard 8.0.13.0, AVE 8.1.0.51, VDF 7.0.4.119

c'è davvero un exploit su questo sito?

Edgar Bangkok ha detto...

C'e' un iframe nascosto che contiene uno script offuscato
Decodificato lo script ottieni un altro script che punta a sito russo con IP 77.221.133(dot)190 che e' un range appartenente a Datapoit sinonimo di malware ed exploit pericolosi.
Non ho approfondito ulteriormente l'analisi ma penso che gia' cosi basti per capire che non e' un sito da visitare. :)

Sbronzo di Riace ha detto...

il link l'ho trovato sul forum di autoit è il sito dell'utente Limiter che credo sia rumeno

.ro sta per romania?

però oggi non mi viene più bloccato

Edgar Bangkok ha detto...

.Ro sta per Romania e l'iframe con il codice che punta al sito russo c'e' sempre
Se ora la pagina home limiter ti si apre prova a vedere nel codice sorgente intorno alla riga 20; c'e' un iframe ... visibility hidden ... ecc...
Puo' darsi che ora punti ad un sito offline ma ci credo poco...

Sbronzo di Riace ha detto...

ho cancellato la cache del browser e di nuovo antivir interviene e blocca il caricamento

ho scaricato il file index.html con un download manager effettivamente c'è l'iframe

iframe src='http://url' width='1' height='1' style='visibility: hidden;'

se si cerca con google la stringa dell'iframe vengono fuori oltre 200 risultati