Come ipotizzato nel precedente post, l'uso di un User Agent del tipo Internet Explorer in ambiente XP mostra qualche info in piu' al riguardo della pagina linkata dagli scripts anche se si utilizza Firefox.
Intanto c'e' da dire che una analisi della pagina con Anubis conferma che oltre al download del falso PDF abbiamo tra l'altro il download di un file eseguibile
visto da VT come
Inoltre ecco come si presenta il source della pagina, quando usiamo user agent Microsoft Explorer
Si notano 3 scripts offuscati
che decodificati rappresentano del codice appartenente ad exploit tra cui
che una ricerca in rete cataloga come exploit per una vulnerbilita' di Microsoft Internet Explorer
C'e' comunque sempre da tenere conto che chi gestisce l'attacco puo' in ogni momento decidere di modificare il contenuto delle pagine malware linkate dagli script presenti sui siti colpiti, modificando cosi' il tipo di files proposti e relativi codici pericolosi.
Per quanto si riferisce al numero di siti web coinvolti al momento su circa un migliaio di siti siamo ad una settantina di questi che presentano lo script.
1 commento:
Ottima analisi. Ormai non servo piu' :-))
Posta un commento