Non sorprende trovare ancora siti con javascript offuscati ma , e qui forse occorrera' verificare meglio, alcuni codici sembrerebbero diversi da quelli trovati un mese fa'.
Innanzitutto il report di webscanner.
Si tratta del range 217.64.193.7 - 217.64.193.7 appartenente a Seeweb s.r.l.
----------------------------------------------------------------
IP adr. range and date time = 217.64.193.7_100_30102007_1703
Filter sites with string = unescape
----------------------------------------------------------------
www.argonauti-multimedia.it
www.meit.it
www.seld.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.7
================================================================
www.eurofficepeb.it
www.fotoottica2f.it
www.brokerass.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.19
================================================================
www.assomela.it
www.dreamteamsport.it
www.roadsnails.it
----------------------------------------------------------------
Num. 3 SITES at IP 217.64.193.39
================================================================
www.studiosgambati.it
www.hotelhermitage.av.it
----------------------------------------------------------------
Num. 2 SITES at IP 217.64.193.55
================================================================
www.meit.it
www.matermatuta.com
www.maglu.it
www.gscopy.it
----------------------------------------------------------------
Num. 4 SITES at IP 217.64.193.71
================================================================
www.barchessacontarini.it
----------------------------------------------------------------
Num. 1 SITES at IP 217.64.193.76
================================================================
Esaminiamo, ad esempio, il sorgente di www.brokerass.it il cui file presenta la data del 29/10/2007 – ore 23.52
Come gia' detto in precedenza, visto che le date dei sorgenti scaricati spesso sono molto diverse tra di loro, a mio avviso potrebbe trattarsi della data dell'ultimo edit del file html.
Il source scaricato da webscanner presenta 2 codici offuscati (ho messo sotto il secondo il codice deoffuscato) e vari link
Non ho tenuto nota dei codici rilevati circa un mese fa' ma non mi pare di ricordare un riferimento, come si vede qui, a href=http://botnet.cc/ ( sito russo con whois in Malesia).
E questo e' lo screenshot di come appare la pagina.
Anche gli altri siti presentano nel codice tutti 1 o 2 javascript offuscati che pero' variano da pagina a pagina.
Visto l0 stato di abbandono in cui si trovano questi siti, praticamente la pagina originale e' stata sostituita da codici malevoli e links, e' probabile che ci troviamo di fronte a domini ormai non piu utilizzati da chi li aveva registrati, ma in ogni caso sembrerebbero ancora fornire spazio a chi vuole diffondere malware e spam.
Edgar
Nessun commento:
Posta un commento