Sembra in aumento la diffusione in rete di falsi codec video e plugin al fine di diffondere malware.
La tendenza attuale e' ormai quella di predisporre malware creato appositamente per il sitema operativo del computer che viene utilizzato per visitare il sito contenente codici pericolosi.
Attraverso l'uso dell'user agent id del browser e' possibile far scaricare a chi visita la pagina del falso codec es. la versione del malware creata appositamente per il MAC .
Una delle ultime segnalazioni in ordine di tempo riguarda codectime.com che ospita attualmente codec sia per SO Windows che per Mac
Il layout della pagina e' ormai cosi tanto utilizzato in rete che basterebbe solo quello per dire che si tratta di falso codec video, ma nonstante tutto ( o fortunantamente) chi crea malware continua ad utilizzarlo.
Il malware nella versione MAC e'
| File codectime1000_2_.exe received on 11.21.2007 05:58:15 (CET) | |||
| Antivirus | Version | Last Update | Result |
| Ikarus | - | - | Trojan.Mac.Dnscha.dmg |
| Sophos | - | - | OSX/RSPlug-Gen |
| Additional information | |||
| MD5: a3874e7ee4aad1a50882feaf5bd0215e | |||
Una interessante caratteristica di alcuni di questi siti che ospitano malware e' la tendenza a mostrare, se si richiama direttamente la homepage, un falso messaggio di Account Sospeso per sviare chi tenta di rilevare se il sito e' attivo e distribuisce files con codice pericoloso.
False applicazioni antimalware:
Aumentano di numero ogni giorno i siti che distribuiscono questo tipo di software.
Abbiamo tra le ultime novita'
Malware Monitor
con host in Ucraina
Si tratta dello stesso range IP 85.255.112.0-85.255.127.255 appartenente a Inhoster Hosting Company Ucraina che pero' recentemente e' stato ridenominato come UkrTeleGroup Ltd
Dr.Protection
Con whois che punta a server in Hong Kong
Raptor Defender
di cui vediamo un report eseguito da Virus Total
Quello che si puo' notare e che essendo questi falsi antimalware continuamente aggiornati a nuove versioni il contenuto pericoloso di solito viene riconosciuto da pochi software antivirus.
Ricerche in rete.
Sembra che anche in questo caso ci sia la tendenza all'aumento di false pagine web costruite apposta per cercare di comparire ai primi posti nei risultati dei motori di ricerca e da li' reindirizzare su siti pericolosi.
Una delle ultime novita' riguarda l'uso di javascript per evitare che queste pagine possano essere trovate attraverso una ricerca Google con l'uso di operatori quali site: inurl: ecc...
Interessante e' vedere come questa pagina se richiamata mostri il seguente messaggio
ma contenga al suo interno un file javascript offuscato
che se deoffuscato ci mostra il seguente codice
nel quale si nota la presenza di istruzioni che cercano di riconoscere se si giunge su questo sito da pagina di ricerca Google utilizzando gli operatori avanzati di ricerca (informazioni presenti nella stringa di referer della pagina che accede al sito).
Edgar
4 commenti:
Ci sono degli imbecilli che postano su it.comp.sicurezza.virus dei link a siti contenenti malware
Visto...
Credo si tratti di qualche idiota isolato che pensa di essere furbo a postare pagine con allegato script malware
Visto che su it.comp.sicurezza.virus scrive anche gente molto competente in materia malware penso che questi cretini che linkano pagine malware possano fare poco danno.
In ogni caso sarebbe interessante vedere se c'e' il modo di cancellare i post in questione dall'elenco che viene visualizzato.
Edgar
a quelli competenti no, ma quel tipo di newsgroup vengono letti anche da molte persone in cerca di aiuto perché hanno il pc infetto e rischiano di essere vittime due volte.
Per la cancellazione credo si possa fare poco, i messaggi ormai si trovano su decine di server delle news e di webnews
Penso anche io che forse a questo punto sia impossibile cancellare i post incriminati. La cosa che si puo fare e' dare massima pubblicta' a quanto e' successo sperando che questo serva a mettere sull'avviso anche chi legge i post in cerca di consigli su come eliminare malware dal pc.
Posta un commento