sabato 15 marzo 2008

Continuano ad arrivare su Blogger commenti ai post con link a rogue applications

Continuano ad essere postati, con una certa regolarita', commenti fasulli nei blog di blogger.
Fortunatamente l'utilizzo della opzione di moderazione dei commenti con la relativa conferma prima della pubblicazione limita i problemi che potrebbero esserci per chi clicca sul falso messaggio e viene linkato, attraverso un sistema abbastanza tortuoso, a siti di false scansioni antivirus online e relativa falsa applicazione antimalware da scaricare.
Questa una delle pagine del falso software a cui si viene linkati e cioe' XPAntivirus



e questo un report di Virus Total

dove si vede che non tutti i software antivirus evidenziano il falso applicativo.

Il commento “ pericoloso” questa volta arriva postato da

e come vediamo e' molto semplice

Cliccando sul link proposto pero', a differenza di quanto accadeva in passato, non si accede direttamente al sito di rogue application passando per il link intermedio anitispycompani.com ma tramite antispycompani si viene reindirizzati su un'altro blog blogger diverso da quello del personaggio che posta il falso commento.

A sua volta sul blog abbiamo un banner costituito da gif animata che tenta di simulare un avviso di problemi al pc e che linka sul sito della rogue application tramite anche qui , un passaggio intermedio, su altro link.
Su antispycompani esiste anche il folder da cui vengono prelevati i falsi banner da visualizzare costituiti da una serie di gif animate contraddistinte dal numero da 1 a 7 nel nome del file.

Di questo genere di banner su falso avviso antimalware, molto semplici, e di solito con link a rogue applications , ne troviamo in giro parecchi sia su blogger che anche su altre pagine in rete.

Forse questi passaggi aggiuntivi servono ad eliminare la possibilita' che tramite una ricerca sui blog si possa trovare un link di accesso diretto al sito di false applicazioni antimalware.

In ogni caso consiglio a chi ha abilitato i commenti ai post sul blog, se avesse problemi di spam di questo genere, di attivarne la moderazione attraverso le apposite opzioni.
La presenza di un nuovo commento in arrivo verra' evidenziata sia sulla dashboard del blog che tramite una email inviata ad un indirizzo da attivare nelle opzioni di moderazione e che non necessariamente deve essere lo stesso indirizzo email che usiamo per il blog (gmail).

Aggiornamento

Arrivato un secondo commento firmato, adesso, "Akinogal" che ha un link che punta direttamente al sito di falsi programmi antispyware attraverso antispycompani.com semza passare per blogs intermedi con banner.
A differenza del precedente commento ora la pagina caricata e' quella identificata dal numero /4 /nella url:
La pagina caricata dai link del falso commento di questa mattina era invece quella corrispondente alla URL con il n. /5/ segno che l'attivita' di invio di falsi commenti continua.
In gni caso il falso programma antimalware rimane sempre lo stesso.
Al momento ci sono 5 differenti layout di sito che reclamizzano la rogue application individuati dal n.1 al n.5 nella url
Una ricerca con Google dimostra che l'invio di questi falsi commenti su Blogger continua ed il numero di blogs sui quali compaiono e' abbastanza elevato.

Edgar

4 commenti:

Sbronzo di Riace ha detto...

confermo oggi sono arrivati 2 commenti da parte di zololkis e akinogal

basta fare una ricerca con google per vedere quanti blog hanno quei commenti

Edgar Bangkok ha detto...

Confermo, anche qui adesso e' arrivato il secondo commento, quello di akinogal .... sarei curioso di sapere come selezionano i blogs, non mi pare casualmente perche' da quando hanno iniziato, sia sul mio blog come anche sul tuo blog, continuano ad arrivare i post fasulli con regolarita'. Sembra che abbiano una lista gia preparata da dare in pasto a qualche script., visto che se lo facessero manualmente vedrebbero che abbiamo attivato la moderazione dei commenti.
Comunque incominciano un po a rompere....

Sbronzo di Riace ha detto...

non lo so, si erano fermati per un po' di tempo adesso hanno ricominciato.

Dando un'occhiata ai profili vedo però che il numero di visualizzazione degli stessi è minore rispetto al passato.

Segno forse che molti utenti quando incontrano quei commenti passano oltre e non gli danno retta.

Probabilmente evitano anche di visualizzare i link contenuti nei commenti.

O sono io a sperare che sia così

Bharath M Narayan ha detto...

now the comments are posted by "Gardagami"

it posts comments which contains the following links:

hxxp://antispycompani(dot)com
hXXp://my-912-flash-180-2008(dot)blogspot(dot)com/

The blogpage mentioned above has a java script that redirects user to xpantivirus(dot)com or xpantivirus2008(dot)com.