AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...
Si tratta DI SCRIPT ATTUALMENTE ATTIVO E CHE REDIRIGE SU SITO PERICOLOSO
Attualmente, accedendo alla homepage dell'Istituto Luce, il noto Istituto Cinematografico Italiano, che propone online un grande archivio di documentari e filmati, a partire dagli anni 30, si scopre al suo interno, un codice javascript offuscato pericoloso.
Questo il source della homepage
![](//1.bp.blogspot.com/_-6waw8mcpyI/S16z-Kts7qI/AAAAAAAAWi4/2l8sQjww8RM/s320/source+home.jpg)
che analizzato con VT presenta questo risultato.
Provvedendo ad una decodifica dello script abbiamo
![](//2.bp.blogspot.com/_-6waw8mcpyI/S16y1dsEqxI/AAAAAAAAWiY/jzT6JRbYjck/s320/malzilla.jpg)
che effettua un redirect su diversi IP
tra cui
![](//3.bp.blogspot.com/_-6waw8mcpyI/S16z2Nru_tI/AAAAAAAAWio/0lN44rVuuL8/s320/wh1.jpg)
![](//4.bp.blogspot.com/_-6waw8mcpyI/S16z12aAlcI/AAAAAAAAWig/LevfoOj7RjA/s320/wh2.jpg)
Il sito coinvolto sembrerebbe yourtruemate(dot)ru che Norton Safe Web classifica come
![](//2.bp.blogspot.com/_-6waw8mcpyI/S16y0VpEMmI/AAAAAAAAWiI/cj8Er6k8hWc/s320/safeweb+name.jpg)
![](//1.bp.blogspot.com/_-6waw8mcpyI/S16y0El0YvI/AAAAAAAAWiA/lR3HXAGs4iw/s320/safe+web+threat.jpg)
Inoltre indirizzi simili all'url decodificata dallo script offuscato sono presenti nel database di malwaredomainlist , cosa che dimostra una attiva presenza del sito .ru nel diffondere il malware
![](//3.bp.blogspot.com/_-6waw8mcpyI/S16yzqGwIiI/AAAAAAAAWh4/bV86QxH6pwk/s320/database+arch.jpg)
E' stata inviata una mail all'indirizzio presente sulla home di luce.it per informare del problema (sperando che venga letta da qualcuno !!)
Edgar
Si tratta DI SCRIPT ATTUALMENTE ATTIVO E CHE REDIRIGE SU SITO PERICOLOSO
Attualmente, accedendo alla homepage dell'Istituto Luce, il noto Istituto Cinematografico Italiano, che propone online un grande archivio di documentari e filmati, a partire dagli anni 30, si scopre al suo interno, un codice javascript offuscato pericoloso.
Questo il source della homepage
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S16z-Kts7qI/AAAAAAAAWi4/2l8sQjww8RM/s320/source+home.jpg)
che analizzato con VT presenta questo risultato.
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S16y1GvEl7I/AAAAAAAAWiQ/FQVJa8aX1TE/s320/vt+source+page.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S16y1dsEqxI/AAAAAAAAWiY/jzT6JRbYjck/s320/malzilla.jpg)
che effettua un redirect su diversi IP
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S16z2SQRdrI/AAAAAAAAWiw/D6FyR73h8hs/s320/ip+multi.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S16z2Nru_tI/AAAAAAAAWio/0lN44rVuuL8/s320/wh1.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S16z12aAlcI/AAAAAAAAWig/LevfoOj7RjA/s320/wh2.jpg)
Il sito coinvolto sembrerebbe yourtruemate(dot)ru che Norton Safe Web classifica come
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S16y0VpEMmI/AAAAAAAAWiI/cj8Er6k8hWc/s320/safeweb+name.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S16y0El0YvI/AAAAAAAAWiA/lR3HXAGs4iw/s320/safe+web+threat.jpg)
Inoltre indirizzi simili all'url decodificata dallo script offuscato sono presenti nel database di malwaredomainlist , cosa che dimostra una attiva presenza del sito .ru nel diffondere il malware
![](http://3.bp.blogspot.com/_-6waw8mcpyI/S16yzqGwIiI/AAAAAAAAWh4/bV86QxH6pwk/s320/database+arch.jpg)
E' stata inviata una mail all'indirizzio presente sulla home di luce.it per informare del problema (sperando che venga letta da qualcuno !!)
Edgar
Nessun commento:
Posta un commento