Gumblar Invade a Melhor compra

Jahne ajuda-o a limpá-lo computador. Proteja-se do vírus, trojans e spyware. Spyware blockers, Proteção de Vírus de Anti

Para casa »informação e Remoção

2 de julho de 2009

Nenhum Comentário

Antes hoje, Tendência o Gerente de Conta Técnico Micro Fioravante Souza no Brasil notou um (potencialmente perigoso) URL que redireciona usuários do sítio de domínio de Melhor compra.

Os usuários que visitam www.bestbuy.com, como resulta, são redirecionados ao URL, hxxp://pics.bubbled.cn/gallery/hardcore/? 23c4f60c1b9f604d6ffb21cba599301f. Encontra-se que a página comprometida no domínio é a página de aterrissagem onde os visitantes podem escolher a língua a ser usada como eles pesquisam dentro do sítio. O Gerente de Pesquisa de ameaça Ivan Macalintal além disso identifica isto um geo-IP o cheque acontece antes da exposição de acima citada página de aterrissagem. The compromised page in the domain is found to be the landing page where visitors can choose the language to be used as they browse within the site. Threat Research Manager Ivan Macalintal further identifies that a GEO-IP check happens prior to displaying the said landing page.

“Se (a) solicitação que IP é da região de América Latina (LAR), usuários for redirecionada ao 'escolhem a ' página inglesa ou espanhola — e logo jogo de bingo!” Macalintal diz.

Abaixo é um screenshot da página de aterrissagem e o seu texto fonte:

BestBuy
A figura 1: A “opção de língua” aterrissagem de página no sítio de domínio de Melhor compra. Encontra-se que esta página expõe só se a solicitação IPwww.bestbuy.com for de LAR.

BestBuy
A figura 2: O texto fonte da página de aterrissagem. Ele mostra um jogo deturpado do código encontrado no fundo da escrita, um sinal claro da ofuscação de código. Abaixo de uma ofuscação de 3 camadas, um iframe redireciona o usuário a um sítio Luckysploit-carregado. O conjunto de bravura de web Luckysploit e a ofuscação vista lembram-se disto encontrado em Gumblar.

A China
A figura 3: o WHOIS screenshot do sítio.CN afirmando que foi criado somente último 4 de junho de 2009.

Os mesmos velhos criminososSame old criminals

URL
A figura 4: a nova investigação mostra que o primeiro sítio.CN é de fato localizado na Alemanha e é usado por atacantes na Ucrânia. Seja suficiente para dizer, os Russkranians são os culpados mais uma vez.