venerdì 7 novembre 2008

Aggiornamento attacco siti web su server Tiscali

Ecco un primo aggiornamento che riguarda il codice script inserito
Da quanto rilevato con Webscanner

sembra che alcuni siti abbiano subito un doppio attacco con l'inserimento di due scripts



che decodificati danno

ed anche


Analizzando altri script presenti sui diversi siti si notano differenti IP

che corrispondono comunque a pagine simili



Il numero di siti colpiti su Tiscali sembra abbastanza alto (circa 60 rilevati al momento per un singolo IP)

Continua

Aggiornamento 2

Il file PDF che viene proposto esegundo il link presente nello script

viene classificato da VT, come era facilmente prevedibile


Si nota che pochi Av riconoscono il file pdf come pericoloso

Un reload della pagina porta ad un redirect su Google (in questo caso Italia visto che l'IP era forzato su range italiano)

Aggiornamento 3 (Scansione con Webscanner)

Una scansione eseguita con Webscanner rileva su un totale di 800 siti esaminati sull'indirizzo IP 213.205.40.169 la presenza di 75 siti (circa il 10% del totale) con la homepage che ospita lo script java malevolo.

Alcuni siti presentano 2 files inseriti con differente indirizzo IP a cui punta lo script.

In ogni caso gli scripts presenti non puntano tutti al medesimo indirizzo ma a differenti IP con diverso whois, e sembrano linkare a pagine leggermente diverse come percorso sul server che le ospita.
Questi alcuni indirizzi di pagine attive a cui puntano gli scripts

C'e' anche da rilevare che il tentativo di caricare la pagina cui punta lo script su Internet Explorer provoca al momento un out of memory del PC virtuale in cui vengono testati i vari files malware non escludendo quindi la possibilita che per differenti browser possa esserci una diversa risposta da parte del sito malware.


Edgar

1 commento:

maverick ha detto...

Edgar l'ip che ha messo è sbagliato
non è 213.205.40.160 ma 213.205.40.169