Nota: se non capite cosa sto scrivendo, non preoccupatevi. È così tecnico che non lo capisco nemmeno io: potete tranquillamente saltare questa notiziola.
Come molti spammer sanno, uno dei sistemi migliori per inserire un troiano in un sistema è fare una richiesta che abbia come referrer il troiano stesso, e aspettare che l’ignaro utente guardi le sue statistiche e si chieda chi è quel tipo che viene a visitarlo.
In questo momento il mio sito – ma anche altri ospitati dal mio provider – vede un paio di dozzine di referrer da http://tvsetmp3.com, tutte provenienti da 87.118.120.23. Se uno prova a cliccare sul sito, viene rediretto a http://ismymovies.com/movie/black/0/2/812/0/ (che per curiosità vostra è ospitato sul server thmnetw2.ru… cominciate a subodorare qualcosa?). Questo link vuole che tu accetti un’estensione ActiveX, dicendoti “Your browser cannot display this video file. You need to download new version of Video ActiveX Object to play this video file”. Se provi a dire di no ti riappare immediatamente la finestra di richiesta ‘Download video codec to view media files.’, in pratica bloccando Firefox. Non so cosa succeda con IE, e non intendo provarci :-)
Però a questo punto mi chiedo cosa ci sia dietro. La pagina è tutta in javascript, ma non sono in grado di verificare cosa c’è. Qualche esperto mi dà una mano?
Ultimo aggiornamento: 2007-12-19 22:58
ciao
se vai http://www.who.is/whois-com/ip-address/ismymovies.com/ trovi alcune info sul sito, ma naturalmente dall’indirizzo email riportato non ti risponderà nessuno! facendo una ricerca veloce su google per indirizzo ip dovrebbe corrispondere ad un sito di spam, mentre il codice che vedi nella pagina non dice comunque molto. non ci sono in giro notizie di virus o recrudescenze di spam. magari puoi farti un giro sul sito di Symantec per altre notizie, ma vista la data di attivazione del server immagino che sia uno degli spyware elencati.
un saluto
@Icekent: direi proprio di sì. Probabilmente hanno riciclato qualcosa di vecchio, e via…
In qualcosa di simile mi sono imbattuto anch’io giusto l’anno scorso. Ovviamente erano diverse sia la tecnica che la tipologia (tecnica) di infezione (ci ho fatto una paginetta qui: http://tinyurl.com/376wo5).
Nel mio caso si trattava di un’e-mail con allegato infetto inviatami (ovviamente inconsapevolmente) da un amico. E si veniva infettati proprio scaricando i presunti codec necessari per vedere il falso video allegato.
Eh, le studiano proprio tutte. ;)
Nel codice javascript ti chiede di scaricare un file da softwebvideo.com che corrisponde ad un ip polacco.
L’eseguibile di 60k l’ho uploadato in tre siti di analisi virus on line:
– http://www.virustotal.com
– http://www.norman.com/microsites/nsic/it
– http://virusscan.jotti.org/
I risultati sono stati:
– per virustotal potrebbe essere una variante di W32CodeCru (maggiori info qui)
– per norman.com è tutto normale
– per jotti idem come virustotal (maggiori info qui
ciao
pc