giovedì 9 luglio 2009

Sito IT doppiamente compromesso e con link ad exploit

AVVISO IMPORTANTE!
Ricordo che anche se la decodifica dello script offuscato e' lasciata in chiaro nello screenshot, evitate di visitare il sito linkato se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

Questo sito italiano, attualmente online

e con whois
presenta la particolarita' di aver subito, in tempi recenti, un probabile doppio attacco.

Esaminando il codice sorgente notiamo infatti due differenti tipologie di inclusione all'interno della homepage


Abbiamo la presenza sia di centinaia di links a siti porno, pharmacy ecc...comunque non attivi, ed anche uno script offuscato che punta a sito con exploit perfettamente funzionante.

Questa una decodifica dello script:

che punta a sito hostato su questo IP, con geo-localizzazione abbastanza particolare,


e che ospita uno script che punta a falso file pdf che una analisi VT vede come

con una buona percentuale di softwares che individuano la minaccia anche se qualche noto software AV non evidenzia comunque il falso file pdf come pericoloso.

Ancora una volta una probabile vulnerabilita' del sito sfruttata per tentare di compromettere il pc dell'ignaro visitatore.

Edgar

Nessun commento: