Oggi la mia attenzione e' stata attratta da un nome di sito particolare e cioe' p0llo.com. (con il numero zero al posto della prima o)
Anche se Site Advisor non ha ancora esaminato il link ho provato a verificare i contenuti di questa pagina ed in effetti chi ha segnalato il sito ha pienamente ragione a dire che e' alquanto pericoloso.
Esaminando, per iniziare, il whois della pagina si scopre che appartiene ad un server noc4host locato in Usa, che , anche se con ranges IP diversi, appare ad esempio nella BLACKLIST del blog Maipiugromozon.
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SAc7d1U0noI/AAAAAAAAElE/m6HUv9hXfKs/s320/whois+p0llo.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SAc761U0nwI/AAAAAAAAEmE/UCNfiMTJhNg/s320/source+page+script+2008-04-17_175249.jpscriptg.jpg)
Si tratta di uno script composto da molte istruzioni che decodifichiamo una prima volta con Malzilla
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SAc761U0nvI/AAAAAAAAEl8/D_qmz7hnyRw/s320/prima+decodifica.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SAc76VU0nuI/AAAAAAAAEl0/Vw4QmCIr1y0/s320/seconda+decodifica.jpg)
Come si vede si nota ad esempio la presenza di queste righe di codice che riportano , in diverse lingue, un percorso alla cartella autorun di windows.
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SAc76FU0ntI/AAAAAAAAEls/hDV5-D2ZuFU/s320/exploit+esecuzioneauto.jpg)
Ci troviamo in pratica davanti ad un codice che, una volta sfruttata una vulnerabilita' del tipo MDAC ActiveX utilizza il folder autostart per piazzare al suo interno un file eseguibile scaricato e chiaramente eseguirlo ad ogni avvio di Windows
A questo punto seguendo il link, contenuto nel codice, possiamo scaricare il file malware
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SAc7fVU0nsI/AAAAAAAAElk/UgBaHpi3AJI/s320/linkexploit.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SAc7e1U0nrI/AAAAAAAAElc/KAccc9QvnFk/s320/malware.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SAc7elU0nqI/AAAAAAAAElU/ex40hfasPRA/s320/vt.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SAc7eVU0npI/AAAAAAAAElM/sDJBLHWDKyg/s320/theplanet.jpg)
Edgar
Nessun commento:
Posta un commento