Si tratta molto spesso di files eseguibili malware, poco riconosciuti dai software AV in commercio.
Visto come prosegue intensa la 'campagna' di inclusione di codici all'interno di siti IT compromessi , sarebbe strano se anche oggi non avessimo un nuovo layout di pagina inserita in maniera nascosta all'interno di sito compromesso.
A titolo di esempio ecco una ricostruzione della struttura del sito , di cui vediamo la homepage,
effettuata con il tool Autoit a partire dai risultati di una ricerca in rete
Ci troviamo di fronte a circa 500 pagine incluse indicizzate dal motore di ricerca da circa 4...13 ore.
Lo script java debolmente offuscato presente nelle pagine provvede a redirigere ancora una volta ad esempio su falso scanner AV online che questa volta e' ospitato su servers con due ip russi di medesimo hoster
![](//3.bp.blogspot.com/_-6waw8mcpyI/S1kWMfPqc3I/AAAAAAAAWdY/krauXpPLsLE/s320/whois2++sito+scanner+1+2010-01-22_091547.jpg)
ed il cui eseguibile proposto e' come sempre poco riconosciuto
![](//4.bp.blogspot.com/_-6waw8mcpyI/S1kWsJrow6I/AAAAAAAAWd4/-IyS9_j64dw/s320/vt.jpg)
In alternativa al falso scanner AV, abbiamo questo conosciuto layout di fake player video
hostato su
e
che propone un eseguibile ancora meno riconosciuto del precedente.
Edgar
Visto come prosegue intensa la 'campagna' di inclusione di codici all'interno di siti IT compromessi , sarebbe strano se anche oggi non avessimo un nuovo layout di pagina inserita in maniera nascosta all'interno di sito compromesso.
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S1kWMtcUTiI/AAAAAAAAWdg/DVD1Oau-yQE/s320/page+inclu.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S1kWNczQ5rI/AAAAAAAAWdo/Walxc5zVFLI/s320/home.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S1kWNphJv8I/AAAAAAAAWdw/LCIYs74TWEI/s320/report.jpg)
Lo script java debolmente offuscato presente nelle pagine provvede a redirigere ancora una volta ad esempio su falso scanner AV online che questa volta e' ospitato su servers con due ip russi di medesimo hoster
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S1kWMfPqc3I/AAAAAAAAWdY/krauXpPLsLE/s320/whois2++sito+scanner+1+2010-01-22_091547.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S1kWMFxYHFI/AAAAAAAAWdQ/Km_EdCjSSIk/s320/whois+sito+scanner+1+2010-01-22_091547.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S1kWsJrow6I/AAAAAAAAWd4/-IyS9_j64dw/s320/vt.jpg)
In alternativa al falso scanner AV, abbiamo questo conosciuto layout di fake player video
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S1kVkLl-KdI/AAAAAAAAWdI/Kan5CIFMKjc/s320/fake+palyer.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S1kVj5NKYnI/AAAAAAAAWdA/EhmB-B9X9YE/s320/whois+fake+player+scanner+1.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S1kVjutREWI/AAAAAAAAWc4/kW3oWm6invM/s320/whois+fake+player+scanner++21.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S1kVjHIeo3I/AAAAAAAAWcw/9i7ArecdUzE/s320/vt+palyer+4.jpg)
Nessun commento:
Posta un commento