Il blog riportava di una ventina di riviste hostate tutte sullo stesso server che conterrebbero iframe con javascript.
Attualmente, se si esamina qualche sorgente di questi siti abbiamo diversi javascript inseriti nelle pagine, su alcune abbiamo un solo iframe ma anche la presenza di link, in chiaro, a siti russi.
Vediamo ad esempio il codice del sito businesscomputingmagazine.com - Business Computing Magazine .
In questo primo caso del sorgente originale della home page rimane ben poco dato che ci troviamo di fronte solo ad un javascript offuscato in maniera molto semplice.(solo codici di escape senza nessun tipo di codifica aggiuntiva) e che deoffuscato (vedi righe in chiaro sotto la sequenza di codici escape) mostra un link al sito ilovemyloes.com con probabile tentativo di scaricare malware sul pc.
Il secondo esempio visualizza il codice del sito securitystandardmag.com - Security Standard che presenta un javascript piu' complesso tra cui anche un link a http://winhex.org (vedi righe decodificate in basso nello screenshot)
Il terzo esempio invece ci mostra la pagina di ceweekmag.com - CE Week Magazine con anche qui uno script offuscato ma con l'aggiunta di due riferimenti a siti .ru : Xaknet.ru e forum.xaknet.ru
Provando a visitare il primo link Xaknet.ru: appare dapprima una finestra (falsa ?) di login ma non attiva poiche' basta cliccare OK per procedere.
Il fatto che si tratti di una falsa finestra ( o quantomeno non attiva) di login lo si potrebbe anche dedurre dal messaggio che esce se tentiamo di chiudere la finestra
Il primo link visitato carica questo sito.
Capire a cosa servano i due link aggiunti oltre al codice javascript nelle pagine compromesse, non risulta facile; probabilmente si tratta solo di un modo per farci visitare siti .ru da cui poi tentare di scaricare malware sul pc o linkarci in automatico ad altri siti di dubbi contenuti.
Lucass e, piu' in dettaglio, GMG nei commenti al post,segnalano che:
Deoffuscando il codice javascript presente su uno dei siti compromessi otteniamo il link hxxp://ilovemyloves.com/traff.php?[Numeri casuali] che punta ad una pagina con due iframe contenenti i links a hxxp://ilovemyloves.com/films/in.cgi?11
e hxxp://ilovemyloves.com/lol.php.
Il primo fa scaricare il Trojan-Downloader.Win32.Injecter.u da hxxp://www.abb-girls.com/cgi-bin/nsp15/in.cgi?p=acc55 mentre il secondo richiama un altro link dal sito (hxxp://ilovemyloves.com/films/in.cgi?12) che richiama hxxp://ilovemyloves.com/ra/index.php che fa scaricare un exe (Trojan-Downloader.Win32.Dirat.h) da hxxp://ilovemyloves.com/ra/load.php
Edgar
4 commenti:
Ciao, da quello che ho visto fa giri strani, sono arrivato ad un link che richiama un exe ma a me non funziona, il link è questo
http: //ilovemyloves.com/nuc/exe.php
poi, sono arrivato ad un altro link ma pare non funzionare oppure cosa molto probabile non l'ho estratto bene dato che usava diversi chiavi di shift delle lettere.
Ciao
questo è il responso dei vari av facendo analizzare la cache degli scripts
img141.imageshack.us/img141/5176/jottinc1.png
Ciao
Seguendo il link che esce deoffuscando il javascript e cioe' ilovemyloves/traff ecc... mi ritrovo su una pagina vuota che ha solo 2 iframe con 2 link ; uno a ilovemylove.com/films e l'altro ilovemyloves.com/lol ma mi pare che non ne funzioni neanche uno.O sono siti che devono ancora attivare oppure e' piu' probabile che siano gia' stati rimossi per lasciare posto a qualcosa di altro.
ciao
Edgar
Dallo script nel sito viene richiamato
hxxp://ilovemyloves.com/traff.php?[Numeri casuali]
che contiene due iframe
hxxp://ilovemyloves.com/films/in.cgi?11
e
hxxp://ilovemyloves.com/lol.php
il primo fa scaricare il Trojan-Downloader.Win32.Injecter.u
da
hxxp://www.abb-girls.com/cgi-bin/nsp15/in.cgi?p=acc55
mentre il secondo richiama un altro
link dal sito (hxxp://ilovemyloves.com/films/in.cgi?12)
che richiama
hxxp://ilovemyloves.com/ra/index.php
che fa scaricare un exe (Trojan-Downloader.Win32.Dirat.h) da
hxxp://ilovemyloves.com/ra/load.php
Ciao
Posta un commento