Variazioni sul tema.... (aggiornato 29/8)

Un po di tempo fa Maverick, sul suo blog analizzava, in questo interessante articolo le insidie dovute al typosquatting, cioe' l'utilizzo di nomi di siti rassomiglianti all'originale ma con piccole differenze di testo che possono capitare sbagliando a digitare il nome del sito oppure che possono essere messe ad arte in un link per ingannare chi legge l'url.
Un lungo elenco di nomi di siti italiani di typosquatting e' prelevabile dal sito di sunbelt
A distanza di tempo, andando a visitare la pagina che viene scaricata digitando una url sbagliata, sembra che l'unica differenza, rispetto a qualche mese fa', sia il diverso layout della pagina e i diversi trojan che vengono scaricati.
Intanto c'e' da dire che facendo una scansione con Webscanner dell'elenco di subnet tutte le url risultano attive. e reindirizzano il visitatore sul sito //www.ragazze-spiate.com/
La pagina appare leggermente diversa come impostazione rispetto a quella visualizzata nellarticolo di Maverick dove erano presenti diversi bottoni di scelta e un falso motore di ricerca.
Ora c'e solo in una foto che riempie la pagina con alcuni link compreso la foto stessa.

Cliccando sia sull immagine che sul link pubblicita' viene scaricato il trojan Clicker.Agent.NBI rilevato in questo caso dal NOD32


Cliccando invece sul link in basso a destra 'SALTA SPOT E VAI DIRETTAMENTE AL SITO' si viene portati in una pagina che vuole rappresentare graficamente un sito Microsoft di aggiornamenti per internet explorer 7


e se ora si clicca su uno dei bottoni o sul logo o sui link il risultato e' lo scaricamento sul pc
di un file dal nome Internetexplorer.exe da un sito anche lui ingannevole e cioe' microsoft-files come si vede dal codice sorgente della pagina.

Il trojan e' lo stesso di quello che viene scaricato dalla prima pagina e che NOD32 rileva come Clicker.Agent.NBI.

Aggiornamenti del 29 08 2007

Una analisi un po piu' approfondita dei due files che sono scaricati dal sito sottoponendoli alla scansione multipla eseguita online dal sito Virus Total:
Questi sono i risultati ottenuti:

Il primo file scaricabile dalla home page di ragazze-spiate e' ServiziParticolari.exe.
Su 31 antivirus testati il 74% riconosce il file come contenente codice pericoloso identificato nella maggior parte dei casi come Trojan Clicker win32; tra gli antivirus che non lo riconoscono troviamo tra gli altri F-prot e McAfee.


Il secondo file scaricabile dal falso sito di aggiornamenti per explorer 7 e' InternetExplorer.exe che anche qui e' rilevato dagli antivirus nella maggior parte dei casi come Trojan Clicker w32.
Anche in questo caso abbiamo circa il 70% degli antivirus che lo riconoscono ma anche qui F-prot e McAfee non riconoscono il pericolo. In piu' in questo secondo caso anche Prevx V.2.0 parrebbe non riconoscere il malware


Edgar