venerdì 7 novembre 2008

Il contenuto delle pagine linkate dall'attcco a siti Tiscali

Come ipotizzato nel precedente post, l'uso di un User Agent del tipo Internet Explorer in ambiente XP mostra qualche info in piu' al riguardo della pagina linkata dagli scripts anche se si utilizza Firefox.


Intanto c'e' da dire che una analisi della pagina con Anubis conferma che oltre al download del falso PDF abbiamo tra l'altro il download di un file eseguibile


visto da VT come


Inoltre ecco come si presenta il source della pagina, quando usiamo user agent Microsoft Explorer
Si notano 3 scripts offuscati


che decodificati rappresentano del codice appartenente ad exploit tra cui


che una ricerca in rete cataloga come exploit per una vulnerbilita' di Microsoft Internet Explorer

C'e' comunque sempre da tenere conto che chi gestisce l'attacco puo' in ogni momento decidere di modificare il contenuto delle pagine malware linkate dagli script presenti sui siti colpiti, modificando cosi' il tipo di files proposti e relativi codici pericolosi.

Per quanto si riferisce al numero di siti web coinvolti al momento su circa un migliaio di siti siamo ad una settantina di questi che presentano lo script.
Edgar

1 commento:

maverick ha detto...

Ottima analisi. Ormai non servo piu' :-))