giovedì 3 aprile 2008

Compromesso emule-italia.it: Symantec stoppa l'attacco con il terribile Mebroot

Secondo Symantec il giorno 2 aprile sarebbero stati compromessi vari siti con alto traffico, tra cui
emule-italia.it. La tecnica è sempre la stessa , ovvero inserire nel codice un javascript offuscato
che tenta di far scaricare attraverso exploit un malware. In questo caso si tratta dell'ultima versione del temibile Mebroot (un rootkit per il MBR).

Per maggiori informazioni vi rimando alla lettura del blog di symantec:

http://www.symantec.com/enterprise/security_response/weblog/2008/04/mebroot_spreading_through_high.html

Qui invece informazioni sul pericoloso malware:

http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html


4 commenti:

Juninho85 ha detto...

ciao maverick,per caso sai dover poter reperire questo javascript offuscato?ora il codice è sato ripulito per cui il problema pare risolto e non ho modo di consultarlo...sul blog symantec c'è soltanto un screen non completo e ovviamente non selezionabile.

maverick ha detto...

No mi spiace. Comunque loro gia' hanno fatto la decodifica. E' il solito iframe che punta a qualche exploit. Non mi pare una novita' a parte l'utilizzo dell'infame MBR rootkit

Edgar Bangkok ha detto...

Posto qui perche' cosi penso venga letto
La solita distribuzione di spam di commenti fasulli su blogspot questa volta punta
72.233.40.58
IP Location: United States Layered Technologies Inc

Ho visto che sulla lista IP da bloccare Layered tech ha solo il range 72.232.0.0 - 72.232.255.255

Forse varra' la pena di includerci anche il 72.233.40.58 ?
Non ho trovato riscontri a questo IP sulla lista IP da bloccare
Edgar

Juninho85 ha detto...

io tra vedere e non vedere l'ho incluso.
a mio avviso il range in blocklist si può estendere fino al 72.233.127.255 anzichè fermarsi al 72.232.255.255