Apprendo infatti dal curatore di Extraexploit che un lettore giapponese del blog, Yosuke HASEGAWA, ha informato che probabilmente il codice offuscato e' stato creato utilizzando una codifica denominata JJENCODE , mi pare di capire da lui creata, e di cui comunque ha messo online una pagina per effettuare sia il coding che il de-coding
Questo il link alla pagina di codifica e decodifica di JJencode:
http://utf-8.jp/public/jjencode.html
http://utf-8.jp/ (vedere alla voce jjencode - Encode any JavaScript program using only symbols)
E' anche disponibille un file PowerPoint ma purtroppo in lingua giapponese all' indirizzo utf-8.jp/public/20090710/jjencode.pps (sarebbe interessante se fosse disponibile in lingua inglese la traduzione)
Questa e' invece la pagina twitter di Yosuke HASEGAWA che informa dell'utilizzo di Jjencode su siti di seo poisoning.
HASEGAWA si rammarica tra laltro che il codice sia utilizzato per questo genere di scopi fraudolenti. “I feel a sharp regret about abuse of jjencode. “
Per quanto si riferisce all'azione di Seo Poisoning a cui stiamo assistendo naturalmente non si tratta di un utilizzo di soli siti IT compromessi.
Una attuale ricerca porta infatti ad individuare numerosi siti non italiani che ospitano le pagine incluse di falso 'search file engine'
Come si nota da data e dal time presente sui singoli risultati della ricerca Google,si tratta quasi sicuramente di siti colpiti nelle ultime ore o comunque negli ultimi giorni se consideriamo che il motore di ricerca non abbia indicizzato le pagine appena queste sono state create, ma dopo qualche tempo.Edgar
Nessun commento:
Posta un commento