AVVISO !
Ricordo che anche se alcuni collegamenti sono lasciati in chiaro negli screenshot, evitate di visitare i siti linkati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).
Nelle ultime ore i risultati di una ricerca in rete propongono ancora nuovi siti IT compromessi con l'inclusione di un links.
Lo sfruttamento di vulnerabilita' esistenti di siti o a volte dei server che li ospitano, rimane uno dei piu' diffusi sistemi di distribuzione di links a malware o falsi AV, senza contare l'uso che ne viene fatto per ospitare phishing e relativi eventuali redirect intermedi a siti di phishing.
Questo esaminato ora e' un sito IT
hostato su
che, dalle date di alcune news presenti , sembrerebbe costantemente aggiornato.
Come si vede ,visionandone il codice sorgente, parecchie delle pagine che lo compongo, contengono un migliaio di links
![](//3.bp.blogspot.com/_-6waw8mcpyI/SkyzHYa_QYI/AAAAAAAAPsk/YwwQTKc6NhE/s320/1+links+1000.jpg)
tutti che puntano a 2 siti ospitati su servizio di hosting USA e che presentano questo codice offuscato
![](//2.bp.blogspot.com/_-6waw8mcpyI/SkyzIMaDvjI/AAAAAAAAPs0/fpcvqD_F--s/s320/1+malz+decoded.jpg)
Il falso player video a cui si viene rediretti (se gli script java sono abilitati nel browser)
propone (al momento) il download di un eseguibile che sia dalle dimensioni , che da una analisi VT
![](//4.bp.blogspot.com/_-6waw8mcpyI/SkyzQIhBZ1I/AAAAAAAAPtE/WPMAZ2pDCt4/s320/1+vt+2009-07-02_174043.jpg)
appare come probabile setup di falsa applicazione AV.
Edgar
Ricordo che anche se alcuni collegamenti sono lasciati in chiaro negli screenshot, evitate di visitare i siti linkati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).
Nelle ultime ore i risultati di una ricerca in rete propongono ancora nuovi siti IT compromessi con l'inclusione di un links.
Lo sfruttamento di vulnerabilita' esistenti di siti o a volte dei server che li ospitano, rimane uno dei piu' diffusi sistemi di distribuzione di links a malware o falsi AV, senza contare l'uso che ne viene fatto per ospitare phishing e relativi eventuali redirect intermedi a siti di phishing.
Questo esaminato ora e' un sito IT
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SkyzG2ycqBI/AAAAAAAAPsc/rzi6i17endQ/s320/sito+1+obfu.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SkyzH9n8w8I/AAAAAAAAPss/dCZGaIGgKmg/s320/1+whois+obfu+2009-07-02_175153.jpg)
Come si vede ,visionandone il codice sorgente, parecchie delle pagine che lo compongo, contengono un migliaio di links
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SkyzHYa_QYI/AAAAAAAAPsk/YwwQTKc6NhE/s320/1+links+1000.jpg)
tutti che puntano a 2 siti ospitati su servizio di hosting USA e che presentano questo codice offuscato
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SkyzIMaDvjI/AAAAAAAAPs0/fpcvqD_F--s/s320/1+malz+decoded.jpg)
Il falso player video a cui si viene rediretti (se gli script java sono abilitati nel browser)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SkyzIeeCUOI/AAAAAAAAPs8/xnbG_5mnbXM/s320/1+fake+player.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SkyzQIhBZ1I/AAAAAAAAPtE/WPMAZ2pDCt4/s320/1+vt+2009-07-02_174043.jpg)
appare come probabile setup di falsa applicazione AV.
Edgar
Nessun commento:
Posta un commento