domenica 3 maggio 2009

Siti italiani compromessi da javascript offuscati (aggiornamento 3 maggio 09)

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Sulla lista degli aggiornamenti di www.malwaredomainlist.com relativa all'elenco di siti compromessi appare l'indicazione di un sito .IT che presenta l'inserimento nel codice della homepage, ma non solo, di javascript offuscato che punta a pagina Mbroot.
Ricordo che il rootkit Mebroot, altrimenti noto come Torpig, Sinowal, o MBR, e' attivo da fine 2007 ed ultimamente e' in circolazione anche una nuova variante.

Dato che appare improbabile che su centinaia di siti presenti su un singolo IP uno solo sia stato vittima di un attacco per comprometterne il codice inserendo script offuscato, e' stata eseguita una analisi Webscanner sia dell'IP che ospita il sito compromesso che di alcuni IP contigui a quello del sito segnalato da www.malwaredomainlist.com.

Questo il sito attualmente compromesso da script offuscato presente su malwaredomainlist


Una scansione con webscanner a pero' portato a trovare ad esempio quest'altro sito su medesimo IP

mentre su altro IP contiguo al precedente abbiamo

Si tratta di siti compromessi che presentano tutti l'inserimento di questo script offuscato

non solo sulla home ma anche su altre pagine del sito e che deoffuscato ed analizzato con Wepawet viene classificato come


Edgar

Nessun commento: