venerdì 26 giugno 2009

Sito .IT con link a pagina con exploit multipli

AVVISO !
Ricordo che anche se alcuni collegamenti sono lasciati in chiaro negli screenshot, evitate di visitare i siti linkati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta di pagine con malware ancora attivo.

Si tratta di un indirizzo web di sito .IT che compare in un aggiornamento della lista di Malware Domain e che e' hostato su

Questa la homepage che presenta un iframe nascosto

e questo il sorgente con in evidenza l'Iframe


Questa invece la pagina linkata

con whois su IP multiplo


Oltre al codice offuscato sono presenti anche due iframe con link ad altre pagine sempre sul medesimo sito

Per quanto si riferisce al codice offuscato sulla pagina principale Wepawet lo cataloga come

Questa invece una analisi VT


Esaminando il codice linkato dai 2 iframe abbiamo invece

Si tratta di exploit Flash con la possibilita' di scegliere il file malevolo a seconda delle differenti versioni in uso del player Flash (evidenziati in giallo)


Una analisi VT dei files malevoli SWF, dimostra che, almeno per quanto si riferisce ad una scansione Online e ONdemand e con i limiti che essa comporta, esistono alcuni noti softwares antivirus che non evidenziano la minaccia.


Edgar

Nessun commento: