lunedì 19 novembre 2007

Le ricerche con Google che ci linkano a malware.

Abbiamo precedentemente visto come un buon numero di siti Istituzionali Italiani venga attaccato scaricando sui forum, blogs o guest books, a volte presenti nei siti, decine di messaggi contenenti links a pagine porno, malware, di pharmacy ... ecc...

Esiste pero' un altro sistema per coinvolgere loro malgrado i Siti Istituzionali, di Enti Pubblici ecc.. con lo scopo di linkare pagine con contenuti per adulti o di altro discutibile genere.
Mi riferisco alla creazione di url ingannevoli che contengono al loro interno riferimenti esempio a links di siti comunali, a siti di Enti Pubblici, ecc....

Una ricerca con Google ci puo', come si vede, portare a questi risultati

oppure (riferimento a siti del governo italiano e di ministeri .gov)


Esaminiamo il primo caso, ricordando che ci sono una gran quantita' di risultati ottentuti con Google che conducono a queste pagine.

C'e' inoltre da distinguere quello che succede una volta cliccato sul link a seconda che il nostro browser abbia un blocco per l'esecuzione dei javascript, presnti nelle pagine che visiteremo, oppure no.

Vediamo tutti i passaggi che ci porteranno dal falso link del comune sino a scaricare un pericoloso eseguibile camuffato da plugin video. (notate che il nome del comune che appare nel risultato della ricerca e' preceduto dal .ru che ci dice gia' la reale provenineza della pagina che andremo a visualizzare)

La prima cosa che succede cliccando sul link , se gli script sono disabilitati, e' il caricamento di questa pagina
Come si vede ci sono decine di links in tema con la ricerca che avevamo fatto.
La pagina al suo interno contiene questo script:

La seconda parte dello script offuscato contiene il codice di decodifica della prima parte.Una volta deoffuscato abbiamo

che utilizzato per decodificare la prima parte offuscata genera il codice


che ci linka questa nuova pagina intermedia (in lingua italiana)



che a sua volta linka automaticamente a pagine di filmati per adulti... proposti free...

Ora basta cliccare su una immagine qualsiasi per essere reindirizzati ad un altro sito di cui vediamo la schermata.


Abbiamo visualizzato un falso box di testo che ci invita a scaricare un falso plugin video senza il quale la visione dei filmati non e' possibile.

Il reale contenuto di questo eseguibile, playcodec4064.exe , non e' un plugin video ma malware, anche se vediamo che Virus Total elenca pochissimi antivirus che al momento rilevano il pericolo.


File playcodec4064.exe received on 11.19.2007 02:44:26 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.11.17.02007.11.16-
AntiVir7.6.0.342007.11.18HEUR/Malware
Authentium4.93.82007.11.17-
Avast4.7.1074.02007.11.18-
AVG7.5.0.5032007.11.18Downloader.Zlob.KF
BitDefender7.22007.11.19Trojan.Downloader.Zlob.ABAZ
CAT-QuickHeal9.002007.11.17-
ClamAV0.91.22007.11.19-
DrWeb4.44.0.091702007.11.18-
eSafe7.0.15.02007.11.14-
eTrust-Vet31.2.53042007.11.17-
Ewido4.02007.11.18-
FileAdvisor12007.11.19-
Fortinet3.11.0.02007.11.18-
F-Prot4.4.2.542007.11.18-
F-Secure6.70.13030.02007.11.19Trojan.Win32.DNSChanger.abj
IkarusT3.1.1.122007.11.19Win32.DnsChanger.MP
Kaspersky7.0.0.1252007.11.19Trojan.Win32.DNSChanger.abj
McAfee51652007.11.16-
Microsoft1.30072007.11.19-
NOD32v226662007.11.19-
Norman5.80.022007.11.16-
Panda9.0.0.42007.11.18-
Prevx1V22007.11.19-
Rising20.18.61.002007.11.18-
Sophos4.23.02007.11.18Troj/Zlobar-Fam
Sunbelt2.2.907.02007.11.17-
Symantec102007.11.19-
TheHacker6.2.9.1332007.11.17Trojan/Downloader.Zlob.eie
VBA323.12.2.52007.11.16-
VirusBuster4.3.26:92007.11.18-
Webwasher-Gateway6.0.12007.11.18Heuristic.Malware

Additional information
File size: 231570 bytes
MD5: 2048a5acfc38af84662d9f831f01bffb
SHA1: 0df8594a6869edc0d73a50ea789cd347922d3366

Come detto precedentemente se sul browser l'esecuzione degli script java e' pienamente abilitata veniamo direttamente linkati da Google alla pagina dei filmati porno senza passare per le pagine ed i siti intermedi che abbiamo visto sopra.

I whois delle pagine iniziali puntano a siti russi; range degli IP 82.204.219.0 - 82.204.219.255 appartenente a POCHTA_RU-NET Russia per la pagina iniziale


e IP 84.252.148.140 MCHOST Russia per la pagina internmedia


mentre la pagina dei filmati e' hostata in USA - Cernel. Inc cosi' come la pagina del falso plugin.

Come si vede i sistemi per cercare di diffondere malware si affidano molto spesso all'utilizzo di Google cercando di nascondere link pericolosi a fronte di ricerche apparentemente innocue.

E' per questo che anche usando Google bisogna sempre prestare la massima attenzione a quello che appare nella url risultato della ricerca ed e' sempre utile abilitare la navigazione all'interno di una sandboxie per isolare preventivamente l'eventuale apertura di pagine pericolose.
In alternativa, o meglio, congiuntamente a Sandboxie e' bene attivare un blocco degli script (es. sotto Firefox tramite l'addon NoScritp ) dato che la maggior parte di queste pagine con malware utilizza script java per reindirzzare la nostra navigazione verso link pericolosi o per eseguire exploit che tentano di scaricare e lanciare codice malevolo.

Edgar

Nessun commento: