lunedì 27 agosto 2007

Italianprogrammi.net : Analisi di un archivio costruito per infettare

Torno ancora una volta su un tema gia' trattato in precedenza:
I siti archivio costruiti per infettare.
Penso che meritino un approfondimento visto che ne ho trovati parecchi.
Prendiamo come esempio italianprogrammi.net che è spesso consigliato come fonte di download.
Questo sito è ospitato da intercage inc. ed è stato registrato da estdomains il che gia' è sinomino per entrambe le societa' di malware, scam, spam ecc.


Nella home page non c'è nulla di anomalo ma quando andiamo a visitare una delle pagine dell'archivio scatta la trappola. Non c'e bisogno di scaricare nulla perche' l'attacco avviene prima tramite exploit.
Interessante notare che lo script malevolo viene eseguito una sola volta, nella visita successiva non succede nulla.

Per venire colpiti mi pare sia necessario avere avere un indirizzo Ip italiano e utilizzare Internet Explorer.

Vediamo cosa succede in dettaglio.Nello screenshot c'è il momento in cui viene caricato lo script malevolo



diamo un'occhiata al codice:




[una curiosita' :l'indirizzo e il numero di telefono dell'intestatario di theadbroker.net, che è stato registrato dalla famigerata Estdomains, sono di un albergo della Sardegna. Che questi farabutti ci siano andati in vacanza?]

il sito theadbroker.net dovrebbe puntare a quest'altro dominio
sunnyvalley.info (sono entrambi ospitati dalla nota Intercage negli USA)

che contiene il seguente iframe



dove sono presenti 8 javascript offuscati malevoli



Quest'ultimo server (195.238.242.76) si trova in moldova e appartiene ad un range di Ip pericoloso gia' in blacklist da tempo.

Questa volta non faro' ulteriori analisi degli script e dei malware che vengono scaricati.

Qui sotto c'è una lista di domini assolutamente da evitare costruiti per il medesimo scopo e con lo stesso meccanismo (l'ho postata sul forum sicurezza di hwupgrade)

LISTA DOMINI:http://www.hwupgrade.it/forum/showthread.php?t=1545882

Qui invece c'è un sito un video che mostra cosa succede o succedeva (non è recentissimo) visitando il sito installare.net

http://www.youtube.com/watch?v=rlqnszS2qsk

la fonte di questo video è la società israeliana finjan
Pubblicato da alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)