Gumblar Invade la Mejor compra

Jahne le ayuda a limpiarle ordenador. Protéjase del virus, trojans y spyware. Spyware blockers, Protección de Virus de Anti

A casa »información y Retiro

El 2 de julio de 2009

Ningún Comentario

Antes hoy, Tendencia el Director de cuenta Técnico Micro Fioravante Souza en Brasil manchó URL (potencialmente dañino) que desvía a usuarios del sitio de esfera de Mejor compra.

¿Los usuarios que visitan www.bestbuy.com, como resulta, son desviados al URL, hxxp://pics.bubbled.cn/gallery/hardcore/? 23c4f60c1b9f604d6ffb21cba599301f. Se encuentra que la página puesta en peligro en la esfera es la página de aterrizaje donde los invitados pueden elegir la lengua para ser usada ya que ellos hojean dentro del sitio. El gerente de Investigación de amenaza Ivan Macalintal adelante identifica esto un geo-IP el control pasa antes de la demostración de dicha página de aterrizaje. The compromised page in the domain is found to be the landing page where visitors can choose the language to be used as they browse within the site. Threat Research Manager Ivan Macalintal further identifies that a GEO-IP check happens prior to displaying the said landing page.

“¡Si (la) solicitación que IP es de la región de América Latina (LAR), usuarios es desviada al 'eligen la ' página inglesa o española — y luego bingo!” Macalintal dice.

Abajo es un screenshot de la página de aterrizaje y su código fuente:

BestBuy
La figura 1: La “opción de lengua” aterrizaje de página con el sitio de esfera de Mejor compra. Se encuentra que esta página sólo muestra si la solicitación IPwww.bestbuy.com es de LAR.

BestBuy
La figura 2: El código fuente de la página de aterrizaje. Esto muestra un juego confuso del código encontrado en el fondo de la escritura, una señal clara del ofuscamiento de código. Bajo un ofuscamiento de 3 capas, un iframe desvía al usuario a un sitio Luckysploit-cargado. El equipo de proeza de web Luckysploit y el ofuscamiento visto recuerdan esto encontrado en Gumblar.

China
La figura 3: el WHOIS screenshot del sitio.CN declarando que ha sido creado sólo último el 4 de junio de 2009.

Mismos viejos criminalesSame old criminals

URL
La figura 4: la investigación adicional muestra que el primer sitio.CN realmente está localizado en Alemania y es usado por atacantes en Ucrania. Baste para decir, Russkranians son los culpables otra vez.