Ecco un primo aggiornamento che riguarda il codice script inserito
Da quanto rilevato con Webscanner
sembra che alcuni siti abbiano subito un doppio attacco con l'inserimento di due scripts
che decodificati danno
ed anche
Analizzando altri script presenti sui diversi siti si notano differenti IP
che corrispondono comunque a pagine simili
Il numero di siti colpiti su Tiscali sembra abbastanza alto (circa 60 rilevati al momento per un singolo IP)
Continua
Aggiornamento 2
Il file PDF che viene proposto esegundo il link presente nello script
viene classificato da VT, come era facilmente prevedibile
Si nota che pochi Av riconoscono il file pdf come pericoloso
Un reload della pagina porta ad un redirect su Google (in questo caso Italia visto che l'IP era forzato su range italiano)
Aggiornamento 3 (Scansione con Webscanner)
Una scansione eseguita con Webscanner rileva su un totale di 800 siti esaminati sull'indirizzo IP 213.205.40.169 la presenza di 75 siti (circa il 10% del totale) con la homepage che ospita lo script java malevolo.
Alcuni siti presentano 2 files inseriti con differente indirizzo IP a cui punta lo script.
In ogni caso gli scripts presenti non puntano tutti al medesimo indirizzo ma a differenti IP con diverso whois, e sembrano linkare a pagine leggermente diverse come percorso sul server che le ospita.
Questi alcuni indirizzi di pagine attive a cui puntano gli scripts
C'e' anche da rilevare che il tentativo di caricare la pagina cui punta lo script su Internet Explorer provoca al momento un out of memory del PC virtuale in cui vengono testati i vari files malware non escludendo quindi la possibilita che per differenti browser possa esserci una diversa risposta da parte del sito malware.
Edgar
Da quanto rilevato con Webscanner
sembra che alcuni siti abbiano subito un doppio attacco con l'inserimento di due scripts
che decodificati danno
ed anche
Analizzando altri script presenti sui diversi siti si notano differenti IP
che corrispondono comunque a pagine simili
Il numero di siti colpiti su Tiscali sembra abbastanza alto (circa 60 rilevati al momento per un singolo IP)
Continua
Aggiornamento 2
Il file PDF che viene proposto esegundo il link presente nello script
viene classificato da VT, come era facilmente prevedibile
Si nota che pochi Av riconoscono il file pdf come pericoloso
Un reload della pagina porta ad un redirect su Google (in questo caso Italia visto che l'IP era forzato su range italiano)
Aggiornamento 3 (Scansione con Webscanner)Una scansione eseguita con Webscanner rileva su un totale di 800 siti esaminati sull'indirizzo IP 213.205.40.169 la presenza di 75 siti (circa il 10% del totale) con la homepage che ospita lo script java malevolo.
Alcuni siti presentano 2 files inseriti con differente indirizzo IP a cui punta lo script.
In ogni caso gli scripts presenti non puntano tutti al medesimo indirizzo ma a differenti IP con diverso whois, e sembrano linkare a pagine leggermente diverse come percorso sul server che le ospita.
Questi alcuni indirizzi di pagine attive a cui puntano gli scripts
C'e' anche da rilevare che il tentativo di caricare la pagina cui punta lo script su Internet Explorer provoca al momento un out of memory del PC virtuale in cui vengono testati i vari files malware non escludendo quindi la possibilita che per differenti browser possa esserci una diversa risposta da parte del sito malware.Edgar
1 commento:
Edgar l'ip che ha messo è sbagliato
non è 213.205.40.160 ma 213.205.40.169
Posta un commento