Ecco alcuni siti
che al momento di scrivere il post presentano ancora incluso lo script java offuscato malevolo visto nei giorni scorsi e che sfrutta le API di Twitter per creare il nome di dominio a cui redirigere il visitatore del sito compromesso.
Oltre a quelli ancora hostati su Aruba ne abbiamo anche 2 su differente IP
![](//2.bp.blogspot.com/_-6waw8mcpyI/S2Psv1K1heI/AAAAAAAAWoo/Npd_MGQ6nSc/s320/whoi+colnago.jpg)
Ad esempio, questo sito della nota marca italiana di biciclette da corsa Colnago (anche se non pare essere il sito ufficiale attivo ed utilizzato attualmente ( che e' www.colnago.com) ma forse un vecchio sito con questa homepage
![](//4.bp.blogspot.com/_-6waw8mcpyI/S2PsvuWka7I/AAAAAAAAWog/oOzBvBVEtq4/s320/colnago+2010-01-30_132028.jpg)
e con evidente nel codice lo script offuscato
Il nome dell'indirizzo web linkato generato dallo script e' in linea con quanto indicato da http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html
Edgar
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S2PsvSueQQI/AAAAAAAAWoY/nBbaSoIny-c/s320/lista.jpg)
Oltre a quelli ancora hostati su Aruba ne abbiamo anche 2 su differente IP
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S2Psv1K1heI/AAAAAAAAWoo/Npd_MGQ6nSc/s320/whoi+colnago.jpg)
Ad esempio, questo sito della nota marca italiana di biciclette da corsa Colnago (anche se non pare essere il sito ufficiale attivo ed utilizzato attualmente ( che e' www.colnago.com) ma forse un vecchio sito con questa homepage
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S2PsvuWka7I/AAAAAAAAWog/oOzBvBVEtq4/s320/colnago+2010-01-30_132028.jpg)
e con evidente nel codice lo script offuscato
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S2Pt4wogEkI/AAAAAAAAWo4/-OzPSOPXXV8/s320/scripts.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S2Pswd9hpII/AAAAAAAAWow/EUGewJ77BvY/s320/torpig+actual+names.jpg)
Nessun commento:
Posta un commento