Il sito ufficiale del cantautore italiano Roberto Vecchioni è stato nei giorni scorsi attaccato. Infatti, la home page ufficiale includeva uno script che scaricava del malware all’interno del PC.

Il codice del sito web conteva del codice JavaScript offuscato, che sembrerebbe essere stato inserito da qualche attacker riuscito a modificare la pagina web.

IL JavaScript, una volta decodificato – la tecnica era particolarmente semplice – caricava un altro sito web, dramcnt.com (194.146.207.23), ospitato in Russia, dall’ISP NEVACON LTD.

Qui viene caricata una pagina html che contiene un exploit per la nuovissima – e gia patchata – vulnerabilità di Windows relativa ai file .ANI e altri JavaScript offuscati. Il tutto necessario a scaricare un malware dalle dimensioni di 29,112 bytes.

Il file è un trojan downloader che installa nel PC un keylogger, sottoforma di due dll denominate ibm00001.dll e ibm00002.dll all’interno della directory C:ProgrammiFile ComuniMicrosoft SharedWeb Folders.

Al momento Prevx1 individua e rimuove correttamente la minaccia. Ho contattato personalmente il webmaster del sito web con urgenza oggi pomeriggio – visto che il sito web è molto visitato, essendo il sito ufficiale di un importante cantautore italiano – la quale ha risolto questa sera il problema. Il sito è dunque di nuovo visitabile senza incorrere in nessun rischio.

Ringrazio Andrea per la segnalazione del problema.

*** UPDATE ***

il sito è stato di nuovo attaccato ed é nuovamente infetto. Sono in contatto con il webmaster per tentare di risolvere il problema. Il sito é stato messo in mattinata offline .
Il messaggio in home page:

*** UPDATE (2) – 29/04/2007 ***

Anche la pagina di offline risulta nuovamente infetta. Raccomando il blocco dei seguenti indirizzi IP per chi ancora non l’avesse fatto:

194.146.207.23
58.65.239.180
81.95.149.114
64.62.137.149

Gli utenti di Prevx sono protetti dalla minaccia.