Codice malevolo:
decodifica dello script qui:
il dominio kizadarai.info è ospitato sul server malese con Ip 124.217.247.212 di PIRADIUS-NET che è utilizzato da RBN (Russian Business Network)
Poiche' qui ho trovato molta immondizia potete bloccare tutto il range
124.217.224.0 - 124.217.255.255
Interessante notare che se digitate l'indirizzo nel browser vi apparira' il solito falso messaggio "Account has been suspended"
AGGIORNAMENTO: Javascript infetto rimosso dal sito antoniodipietro.org
Il dominio kizadarai.info continua ad ospitare un malware definito dagli analisti di Avira Virus Lab in questo modo:
The file 'load.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Agent.wxa. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data.
2 commenti:
Redirige a uno di quei siti con exploit che lanciano l'exploit solo la prima volta che li visiti...
Comunque guarda questo http://www.f-secure.com/weblog/archives/00001403.html
E specialmente l'articolo linkato
http://blog.washingtonpost.com/securityfix/2008/03/ukranian_cybercrime_boss_leads.html
Piuttosto scioccante... ;(
beh direi che ormai abbiamo capito tutti che l'ucraina è una specie di paradiso per i cybercriminali.
Sono una politica comune tra UE e USA
potrebbe ottenere qualche risultato.
comunque adesso stanno usando server nei paesi asiatici cina , turchia malesia, hong kong ma sono sempre ex sovietici. Quello che mi rimane difficile da capire è come sia possibile che negli usa esista una cosa come intecage/atrivo.
C'è un tizio che stufo dello spam sul blog ha bloccato tutti i paesi dell'est europa. Spam sceso del 90%
Posta un commento