(Segue dal precedente POST)
AVVISO IMPORTANTE !!!!
Si tratta di due siti con exploit attivo.Prendete tutte le precauzioni del caso se volete analizzarne i contenuti.
Da quanto si legge sul sito di Secunia l'exploit sfrutta una vulnerabilita presente nell' ActiveX per lo streaming video (msvidctl.dll) causando uno stack-based buffer overflow tramite una immagine creata appositamente.
Questo permettera' l'esecuzione di codice arbitrario quando un utente visiti uno dei siti web contenenti l'exploit.
Tra i vari domini presenti in lista ne abbiamo due (report Webscanner)
che presentano il seguente sorgente, veramente molto semplice
La falsa immagine go.jpg presente nel codice, una volta scaricata ed analizzata con VT propone questo risultato
ed ecco un parte del contenuto del falso file immagine, dopo averlo formattato eliminando i caratteri che ne rendevano difficile la lettura,
e che conferma il contenuto relativo al codice dell'exploit
Come si vede e' presente un ulteriore riferimento ad altro file immagine che troviamo sempre sul medesimo sito e denominato logo.gif che una volta scaricato ed analizzato con VT mostra questo ulteriore risultato
In entrambi i casi sembrerebbe che i due falsi file immagine in realta' codici pericolosi siano poco rilevati dai softwares AV presenti in VT
Edgar
AVVISO IMPORTANTE !!!!
Si tratta di due siti con exploit attivo.Prendete tutte le precauzioni del caso se volete analizzarne i contenuti.
Da quanto si legge sul sito di Secunia l'exploit sfrutta una vulnerabilita presente nell' ActiveX per lo streaming video (msvidctl.dll) causando uno stack-based buffer overflow tramite una immagine creata appositamente.
Questo permettera' l'esecuzione di codice arbitrario quando un utente visiti uno dei siti web contenenti l'exploit.
Tra i vari domini presenti in lista ne abbiamo due (report Webscanner)
che presentano il seguente sorgente, veramente molto semplice
La falsa immagine go.jpg presente nel codice, una volta scaricata ed analizzata con VT propone questo risultato
ed ecco un parte del contenuto del falso file immagine, dopo averlo formattato eliminando i caratteri che ne rendevano difficile la lettura,
e che conferma il contenuto relativo al codice dell'exploit
Come si vede e' presente un ulteriore riferimento ad altro file immagine che troviamo sempre sul medesimo sito e denominato logo.gif che una volta scaricato ed analizzato con VT mostra questo ulteriore risultato
In entrambi i casi sembrerebbe che i due falsi file immagine in realta' codici pericolosi siano poco rilevati dai softwares AV presenti in VT
Edgar
Nessun commento:
Posta un commento