venerdì 18 luglio 2008

Nuovi domini Asprox e situazione siti .IT aggiornata 18 luglio

Sembra che la creazione di nuovi nomi di dominio collegati alla botnet Asprox non conosca pause considerato che nelle ultime ore abbiamo assistito alla comparsa di nuovi nomi di dominio tra cui anche alcuni .ru e .eu (fonte http://www.dynamoo.com/blog/)

# butdrv(dot)com
# cdrpoex(dot)com
# cliprts(dot)com
# movaddw(dot)com
# tctcow(dot)com
# usabnr(dot)com
# ausbnr(dot)com
# adwnetw(dot)com
# adpzo(dot)com
# brcporb(dot)ru
# btoperc(dot)ru
# korfd(dot)ru
# grtsel(dot)ru
# cdport(dot)eu
# gbradp(dot)com
# gitporg(dot)com
# hdrcom(dot)com
# loopadd(dot)com
# nopcls(dot)com
# pyttco(dot)com
# porttw(dot)mobi
# bkpadd(dot)mobi
# gbradde(dot)tk
# gbradde(dot)tk

Ecco, ad esempio, un 'aggiornato' sito che presenta link a dominio Asprox .ru

Nonostante il numero complessivo di siti italiani colpiti sia al momento abbastanza contenuto ci sono sempre nuovi siti compromessi che vanno a sostituire quelli bonificati.
Questo un attuale report :

tra cui compare una pagina che si distingue per il numero di riferimenti allo script ngg.js all'interno del codice (quasi 3000 presenze della stringa ngg.js)

Si tratta del sito di una biblioteca italiana con centinaia di riferimenti a ngg.js che fortunatamente ed almeno in parte, sono posizionati all'interno del codice, in maniera tale da non poter essere eseguiti quando si visitasse la pagina.

Su altre pagine del medesimo sito, invece, lo script sembrerebbe posizionato correttamente e potenzialmente pericoloso se l'esecuzione degli script java e' abilitata nel browser che si sta utilizzando.
Come al solito una scansione piu' in dettaglio del contenuto della biblioteca online dimostra che non si tratta di una sola pagina colpita, ma vista la natura di questo genere di attacchi, di alcune decine di pagine.

Altri due casi interessanti dimostrano come a volte l'inserimento dei codici pericolosi si risolva nel rendere inutilizzabili alcuni menu' di scelta inserendo nella drop-down list parte dello script java.

ed anche

Questo invece un sito nel quale lo script e' 'finito' nella barra del titolo.


Per concludere un caso invece che potrebbe essere pericoloso

in quanto gli scripts appaiono correttamente nel codice della pagina che ospita una lista quasi completa ed aggiornata di links a siti Asprox attualmente attivi.
Una spiegazione di questo lungo ed aggiornato campionario di links alla botnet Asprox potrebbe essere la totale o parziale NON gestione dei contenuti del sito dedotta ad esempio dalla presenza di una pagina di ricerca e prenotazione camere online ferma all'anno 2007 !

Edgar

Nessun commento: