Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).
Per maggiori informazioni vi rimando alla lettura del blog di symantec:
http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html
Qui invece informazioni sul pericoloso malware:
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
Iscriviti a:
Commenti sul post (Atom)
4 commenti:
ciao maverick,per caso sai dover poter reperire questo javascript offuscato?ora il codice è sato ripulito per cui il problema pare risolto e non ho modo di consultarlo...sul blog symantec c'è soltanto un screen non completo e ovviamente non selezionabile.
No mi spiace. Comunque loro gia' hanno fatto la decodifica. E' il solito iframe che punta a qualche exploit. Non mi pare una novita' a parte l'utilizzo dell'infame MBR rootkit
Posto qui perche' cosi penso venga letto
La solita distribuzione di spam di commenti fasulli su blogspot questa volta punta
72.233.40.58
IP Location: United States Layered Technologies Inc
Ho visto che sulla lista IP da bloccare Layered tech ha solo il range 72.232.0.0 - 72.232.255.255
Forse varra' la pena di includerci anche il 72.233.40.58 ?
Non ho trovato riscontri a questo IP sulla lista IP da bloccare
Edgar
io tra vedere e non vedere l'ho incluso.
a mio avviso il range in blocklist si può estendere fino al 72.233.127.255 anzichè fermarsi al 72.232.255.255
Posta un commento