Tuesday, November 27, 2007

I See Alive IFRAMEs Everywhere - Part Two

The never ending IFRAME-ing of relatively popular or niche domains whose popularity is attracting loyal and well segmented audience, never ends. Which leads us to part two of this series uncovering such domains and tracing back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious campaign to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very end of it. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are still IFRAME-ed, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs cleaned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IFRAMEs despite Google's warning indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're still harmful, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are connected.

Affected sites :

Epilepsie France - epilepsie-france.org
Iran Art News - iranartnews.com
The Media Women Forum - yfmf.org
Le Bowling en France - bowling-france.fr
The Hong Kong Physiocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rapists Union - hkpu.org
The Wireless LAN Community - wlan.org
The First HELLENIC Linux Distribution - zeuslinux.gr

The entire campaign is orbiting around pornopervoi.com, which was last responding to 81.177.3.225, an IP that's also known to be hosting a fake bank (weiterweg-intl.com) according to Artists Against 419. Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were small files loading a second IFRAME. For instance, pornopervoi.com/u.php leads to 88.255.94.246/freehost1/georg/index.php?id=0290 (WebAttacker), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same campaign is also active at 81.29.241.238/freehost1/georg/index.php?id=0290, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se try to drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following :

88.255.94.246/freehost1/chris0039/lu/dm_0039.exe
81.29.241.238/freehost1/chris0031/lu/dm_0031.exe

An Apophis C&C panel was located in this ecosystem as well. Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r files at pornopervoi.com, are pornopervoi.com/i.php where we're redirected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second one spelredeadread.com/in.php?adv=678. Even more interesting, energy.org.ru a Web hosting provider is also embedded with pornopervoi.com/m.php again forwarding to spelredeadread.com. To furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r expand this ecosystem, yfmf.org cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Media Women Forum is also IFRAME-ed with a link pointing to pornopervoi.com/m.php. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r site that's also pointing to pornopervoi.com/m.php is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hong Kong Physiocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rapists Union hkpu.org. Two more sites serving malware, namely wlan.org, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wireless LAN Community also pointing to pornopervoi.com/m.php, and zeuslinux.gr, The First HELLENIC Linux Distribution.

Who's behind this malware embedded attack? It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing consolidation between defacers, malware authors, and blackhat SEO-ers using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infamous infrastructure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN.

Related posts:
Bank of India Serving Malware
U.S Consulate in St.Petersburg Serving Malware
Syrian Embassy in London Serving Malware
CISRT Serving Malware
Compromised Sites Serving Malware and Spam
A Portfolio of Malware Embedded Magazines
Possibility Media's Malware Fiasco
The "New Media" Malware Gang
Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Massive Embedded Malware Attack