martedì 17 giugno 2008

Malware online

Capita a volte, quasi per caso, di imbattersi in links a malware hostato su domini .IT anche appartenente ad Enti Pubblici come ad esempio questo caso di javascript offuscato hostato su dominio della Regione Liguria
Non si tratta comunque di caso collegato ai recenti attacchi di sql injection di cui hanno sofferto anche pagine appartenenti al dominio Regione.Liguria e di cui si e' scritto ultimamente in rete ma probabilmente di codice malevolo residente da molto piu tempo sul server e forse frutto di uno specifico hacking del sito.

Questa la url con la videata del download del codice php pericoloso


hostato su server appartenente a

e questo il contenuto del file php


dove si nota la presenza di uno script java offuscato che decodificato punta ad un file eseguibile

hostato su server turco
Il file analizzato con VT dimostra che si tratta di malware ma fortunatamente ben riconosciuto dai principali softwares antivirus e questo probabilmente perche', come dicevo, ci troviamo di fronte ad un attacco abbastanza datato

Interessante notare l'icona scelta per rappresentare il file pericoloso uguale a quella utilizza per i folder su disco e questo per nascondere la caratteristica EXE (eseguibile) del file.
Anche, se come abbiamo visto, si tratta di malware ben riconosciuto dagli AV e che sembrerebbe poter fare pochi danni, rimane il fatto che continuano ad esserci in rete server che ospitano oltre al loro contenuto “ufficiale” anche codici malevoli o links a malware che potrebbero rappresentare un problema per chi naviga in rete.

Edgar

Nessun commento: