Questa volta si tratta di un caso particolare in quanto, come vedremo, uno dei siti colpiti, oltre che ad essere quello di un noto produttore italiano di calzature, risultava gia compromesso a settembre 2009, ma da differente inclusione, sempre comunque di pagine nascoste, con link a siti di fake scanner AV.
Vediamo alcuni dettagli:
Questa la homepage (in versione italiana)
Una ricerca in rete mostra come almeno da 3 giorni il sito sia diventato vittima di una massiccia inclusione di codici
che propongono questo layout di pagina
con relativo javascript debolmente offuscato che redirige su siti di fake motore di ricerca che poi provvede a reindirizzare la navigazione su altri siti
Una analisi con un tool Autoit mostra la struttura del sito come ricostruibile dai risultati della ricerca
mentre nel dettaglio possiamo vedere i contenuti dei folders inclusi che dimostrano pagine presenti solo da poche ore
La cosa interessante e' che il medesimo sito, compariva in questo post del settembre 2009 per una inclusione di pagine web con differenti nomi di folder ma comunque con tipologie simili e links a falsi softwares AV
ancora presenti sul sito ma il cui link di redirect non sembra essere piu' funzionante.
Edgar
Vediamo alcuni dettagli:
Questa la homepage (in versione italiana)
Una ricerca in rete mostra come almeno da 3 giorni il sito sia diventato vittima di una massiccia inclusione di codici 
che propongono questo layout di pagina
con relativo javascript debolmente offuscato che redirige su siti di fake motore di ricerca che poi provvede a reindirizzare la navigazione su altri siti
Una analisi con un tool Autoit mostra la struttura del sito come ricostruibile dai risultati della ricerca
mentre nel dettaglio possiamo vedere i contenuti dei folders inclusi che dimostrano pagine presenti solo da poche ore
La cosa interessante e' che il medesimo sito, compariva in questo post del settembre 2009 per una inclusione di pagine web con differenti nomi di folder ma comunque con tipologie simili e links a falsi softwares AV
ancora presenti sul sito ma il cui link di redirect non sembra essere piu' funzionante.
Edgar
Nessun commento:
Posta un commento