giovedì 16 aprile 2009

Ancora una lunga sequenza di javascript offuscati su sito .IT compromesso

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Anche se sembrerebbe pagina compromessa gia' da tempo gli script presenti puntano tuttora a siti attivi nel distribuire malare.
Si tratta infatti di una serie di redirect ottenuti attraverso una lunga catena di javascript offuscati presenti su questo sito .IT ma hostato su server USA

Ecco il source del sito con lo script offuscato iniziale

che dopo una prima decodifica

notiamo puntare a sito con IP


Sul sito a cui si viene rediretti dallo script abbiamo nuovamente uno script che deoffuscato

ci mostra 2 links differenti sempre sul medesimo server.

Esaminando il primo link possiamo vedere che eseguendolo siamo portati su nuova pagina con ulteriore script offuscato

che propone 'finalmente ' il link a pagina che tenta il download di questo file .pdf

in realta' exploit PDF.

La pagina finale a cui si e' rediretti presenta diverso whois dalle precedenti e precisamente

Inutile dire che l'utilizzo dell'addon Noscript sotto Firefox garantisce una buona protezione da questo genere di problemi quando si visitano siti che sono compromessi con l'inserimento di codici pericolosi sotto forma di script java o links a malware.

Edgar

Nessun commento: