domenica 10 gennaio 2010

Ancora nuovi siti colpiti dall'inclusione di pagine di falsi blog e una nuova variante di pagine incluse

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di files eseguibili malware, poco riconosciuti dai software AV in commercio.

Probabilmente, l'inclusione di false pagine in siti legittimi IT ha raggiunto dimensioni tali da essere considerata ormai quasi evento 'normale' o 'inevitabile' per un sito web, visto e considerato che nell'intervallo di tempo dall'ultimo post sull'argomento ad oggi non solo i siti colpiti sono stati nuovamente compromessi con l'aggiornamento dei codici inclusi ma i risultati di una ricerca mostrano nuovi nomi di siti coinvolti.

Inoltre , come se non bastasse l'alto numero di siti gia' compromessi praticamente ogni giorno, abbiamo altre tipologie di pagine incluse con differenti layout, presenti oggi nei risultati di una ricerca in rete.

Per quanto si riferisce ai siti sull'ormai molto noto hoster UK ed ampiamente coinvolti in queste ultime settimane, compare per la prima volta questo sito 'genovese' (da notare la data odierna ben indicata nella pagina del fake blog)


Diverso rispetto a quelli precedenti, e' il link puntato dallo script java presente nella fake pagina,

con collegamento a sito maltese che a sua volta redirige su sito di fake AV (whois USA e Russo) e che presenta questo eseguibile quasi sconosciuto ad una analisi VT


Per quanto si riferisce invece a nuove tipologie di pagine incluse, questa volta su siti hostati su diversi servers IT, sono presenti nei risultati di una ricerca nuove pagine con questo layout,


che tramite script offuscato, se si accede alla pagina attraverso i risultati di una ricerca in rete, redirigono su pagine che presentano un layout di fake motore di ricerca.


Il numero di links che puntano alle fake pagine incluse e' di circa 1.000 come si vede in questo report

mentre questa la tipica struttura di uno dei siti compromessi

Come si vede una grande quantita' di siti anche IT che continuano ad essere utilizzati quali fonte di pagine pericolose quale risultato di una ricerca in rete.
Al momento per chi visitasse i siti compromessi, non sembrano esistere invece pericoli, in quanto, chi ha incluso le pagine le ha rese nascoste proprio per permetterne una maggiore permanenza online.
Ha riprova di questo, si nota sempre come una bassissima percentuale dei siti colpiti sia bonificata dai contenuti 'aggiunti', mentre la quasi totalita' continuera' ad ospitare probabilmente per mesi le pagine incluse viste ora.

Edgar

Nessun commento: