venerdì 16 maggio 2008

Alcuni forum P.A. come aggiornata fonte di links a codec e player malware

Riprendo, dopo qualche tempo, l'argomento riguardo ai forum in rete con links a malware poiche' volendo trovare le ultime novita' in fatto di links a falsi player video o activex o codec video fasulli e pericolosi ultimamente non c'e' bisogno di compiere estese ricerche.

Infatti basta connettersi ad uno dei tanti forum presenti in rete (di solito i peggio gestiti sono quelli inseriti in siti di Amministrazione Pubblica locale ossia Comuni) per trovare subito centinaia di link aggiornatissimi a malware di tutti i generi con le ultime versioni dei codici pericolosi.

Questo che vedete e' un attuale ed aggiornatissimo (solo per i contenuti malware) forum di un noto Comune Toscano che dovrebbe trattare di “Pari Opportunita'” ma che come vedremo presenta contenuti ben diversi.
Potete osservare che la data degli ultimi post e quella di ieri ma al momento sembra che se ne stiano aggiungendo di nuovi 'in tempo reale'.
Si tratta di post lasciati da utenti che sicuramente non hanno molti interessi su quanto riguarda le “Pari opportunita'”


e questo e' un profilo di uno degli ultimi utenti registratisi al forum. (vedere la data di iscrizione)
Si tratta di utenti fasulli, creati forse in automatico, con il solo scopo di scaricare sul forum migliaia di commenti dai contenuti di solito porno o di falsi medicinali e dai links a malware assortito.

Con queste premesse non c'e' da meravigliarsi se il contenuto dei vari post sia del tipo che vediamo in questa schermata che riassume parte di una delle discussioni.
Il post in questione come si vede ha una dimensione notevole con centinaia di immagini e testo con termini in italiano alla rinfusa che comunque sono tutti in argomento con l'oggetto del messaggio
Questo un particolare del testo.

Tutte le immagini sono cliccabili e come c'era da aspettarsi conducono ad un esteso campionario di falsi player video e codec tutti rigorosamente malware e , cosa piu' preoccupante, tutti poco o niente riconosciuti dagli attuali softwares antivirus.

Alcuni esempi con il relativo report di Virus Total e il whois del server che hosta il malware

Ecco il download del falso player video

con whois su
e report VT


Questo un altro link

con report VT


Un caso interessante e' il link a questo falso update di codec per windows media player


con whois in
dove nessuno degli AV riconosce il probabile pericolo o forse potrebbe trattarsi di un file appositamente inserito senza malware per creare un po di confusione e sostituirlo al momento piu' opportuno con un file dai contenuti pericolosi


E per finire un falso player video con relativa animazione del caricamento del file direttamente sul forum

La ricerca potrebbe continuare riempiendo decine di pagine con vari 'modelli' di falsi codec video e player video fasulli.

Come si vede uno dei metodi favoriti da chi vuol diffondere malware e' l'inserimento di links in forum di solito creati e in seguito non gestiti ed abbandonati.

La moda attuale di inserire, quasi di default, forum in siti di Amministrazione Pubblica favorisce poi in maniera notevole questo diffondersi di pagine e link malware proprio perche' la maggior parte dei siti comunali non procedono ad una amministrazione e moderazione dei contenuti del forum credo anche per mancanza di personale che abbia conoscenze tecniche in questo campo.

Edgar

2 commenti:

Juninho85 ha detto...

ciao edgar,giusto per rimanere in tema di antivirus,vorrei segnalare uno che a quanto pare ha testimonial illustri.
a giudicare da quanto costa dovrebbe promette veramente bene!:D
http://virus-isolator.net/

Edgar Bangkok ha detto...

SI
Un prodotto molto valido, per impestarsi il computer...
Tra l'altro mi pare siano disponibili piu' scanners... basta cambiare il solito numero nella url abbiamo lo /scanner3 e /scanner2 ma forse anche altri
Ip 217.170.77.150 (russi- malware , exploit) TimeWeb Russia