martedì 16 marzo 2010

Siti IT compromessi con pagine incluse. Vecchi e nuovi layouts

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..

Continua “l'aggiornamento” dei siti IT compromessi hostati su servers UK con l'inclusione nascosta di pagine con layout simile a blog e links in automatico a siti che distribuiscono malware o falsi AV

Questa la pagina odierna inclusa su sito .IT

Da notare che il sistema di redirect automatico tramite script java e' spesso modificato quando viene inclusa una nuova pagina.

Sulla pagina 'aggiornata' vista ora abbiamo ad esempio un link a script java hostato su

che se eseguito redirige alternativamente a due siti di fake AV

(anche questa volta appare evidente un riconoscimento dell'IP di provenienza del visitatore che limita il numero di volte dell'esecuzione dello script)

Come curiosita' possiamo notare che interrogando la homepage dell'indirizzo web che ospita gli scripts abbiamo questo messaggio che tenta di evidenziare falsi problemi al sito in questione.

I due siti di fake AV con whois

propongono differente download di file eseguibile

sempre poco riconosciuto dai reali softwares AV relativamente ad una scansione VT (ricordando sempre i limiti di una scansione on-line on-demand)


Esaminando invece i risultati di una ricerca in rete abbiamo oggi anche la comparsa di un nuovo codice di pagina inclusa che questa volta e' leggermente diverso dal solito

Al momento la ricerca parrebbe segnalare siti hostati solo su range IP appartenente a singolo hoster IT

Una analisi dei risultati vede un discreto numero di siti

presentare una struttura dell'inclusione delle pagine come questa

Si tratta di centinaia di pagine su singolo sito.

L'inclusione presnta uno script java offuscato che decodificato evidenzia la creazione di iframe

contenente link a fake motore di ricerca che ricorda il layout di Google

mentre sulla pagina sono anche presenti links ad altre pagine simili sempre sul medesimo sito colpito

Al momento sembra che il fake motore di ricerca si limiti a linkare diversi siti anche su dominio CN senza la presenza di malware, ricordando comunque che, trattandosi di falso motore di ricerca, l'affidabilita' dei risultati proposti e' praticamente nulla.

Edgar

Nessun commento: