lunedì 5 aprile 2010

Siti it compromessi da torpig script (agg.5 aprile)

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..
I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.

Ancora alcuni siti presenti in rete con incluso in homepage l'ormai noto script offuascato del genere Torpig

Ecco alcuni risultati odierni eseguiti su reverse IP di servers italiani:

Su

abbiamo da una scansione di reverse IP questo sito che presenta lo script offuscato


Su

invece un certo numero di siti ancora con la presenza del codice malevolo

Questi gli heders dove notiamo simili “Last-modified date and time” al riguardo dell'ultima modifica del codice.

Anche se non necessariamente legate al momento dell'attacco ai siti la date riportate (17 marzo esclusivamente per i siti con javascript malevolo) e per due pagine anche il time praticamente uguale fanno pensare che si tratti proprio del momento in cui la pagina e ' stata modificata con l'inclusione del codice.

Per terminare, risultano ancora codici malevoli su alcuni siti su server gia' colpito in passato

Questo un report attuale


Edgar

4 commenti:

Sbronzo di Riace ha detto...

è da un po' di giorni che Antivir blocca questo sito

http://www.wintricks.it/

Requested URL: http://www.wintricks.it/
Information: Contains recognition pattern of the HTML/Infected.WebPage.Gen HTML script virus

il sito è realmente infetto?

Edgar Bangkok ha detto...

L'unica cosa che noto e' che il codice della homepage contiene ben 6 iframe nascosti che presentano un link ad altro sito e precisamente eurohackers.it
Non so se la presenza di questi frame nascosti con links a eurohackers sia la causa dell avviso di Antivir..altri redirect particolari non ne vedo
Comunque il link a eurohacker non mi pare presenti particolari rischi anche se in effetti e'presente in iframe nascosti.

Sbronzo di Riace ha detto...

se blocco con adblock il sito eurohackers.it la webguard di Antivir non si allarma

Edgar Bangkok ha detto...

E' probabile che gli iframe nascosti presentando un link al loro interno allarmino l'antivirus dato che normalmente sono utilizzati proprio per nascondere links a siti pericolosi.
Per quanto si riferisce ad il sito eurohackers.it almeno la homepage (presente nei links in iframes) non sembrerebbe dare problemi di sicurezza.