giovedì 26 novembre 2009

Una inclusione di pagine con layout particolari

Si tratta di alcuni siti italiani, ma anche su dominio .com, che compaiono nei risultati di una odierna ricerca in rete, e che si distinguono dalla grande quantita' di siti IT compromessi, per il particolare layout delle pagine incluse.

Ecco come si presenta una delle pagine inserite in maniera nascosta all'interno di questi siti (notare la presenza di una favicon senza il logo Google)

ed ecco un altro layout presente:


Come si nota, si tratta di layout di pagina che clona Google, con i links presenti sulla pagina ai vari servizi Google funzionanti, ma non se si esegue una ricerca.

In realta' il source delle pagine e' composto da decine di links nascosti

a pagine simili a blog, incluse in siti legittimi ma compromessi

Pagine che al loro interno ospitano javasccripts offuscati come questo

che linkano nei casi esaminati ora (sia su dominio IT che COM ) a falso scanner Av


Lo scanner AV fasullo distribuisce uno dei tanti eseguibili sempre poco visti da una scansione VT


Estendendo la ricerca in rete si trovano siti su dominio .COM che presentano medesime caratteristiche sia come pagina inclusa che come links a cui puntano i siti che effettuano il redirect.

Un'altra particolarita'' e' che, nel caso della ricerca in particolare di siti .IT,

oppure


tutte le pagine con falso layout di Google hanno l'indirizzo web composto da parole in italiano, come se si trattasse di pagine forse gia' preesistenti sul relativo sito compromesso e che sono state modificate con l'inclusione del codice che simula il layout del motore di ricerca e dei links ad altri siti compromessi.

Edgar

Nessun commento: