domenica 8 giugno 2008

Non aprite quel 'portone'

Come dice il titolo del post non sembra il caso di far aprire questa pagina al nostro browser

Esaminiamo in dettaglio il codice:

Sono presenti, come si vede 2 script, di cui uno. dal contenuto offuscato ma in maniera semplice , contiene la funzione richiamata dall'altro script.

Lo scopo e' quello di richiamare tramite un passaggio sul sito presente nel link un altro sito contenente il falso player che richiede il solito plugin o codec video in realta' malware.


Accedendo la prima volta si viene reindirizzati su questa pagina che tenta di scaricare una variante di 'ZLOB' presente di solito su questo genere di siti, e che come sempre viene riconosciuta da pochi software antivirus

Questo un whois

Un secondo tentativo di ricaricare la pagina pericolosa ( con probabile riconoscimento da parte del server che host malware, dell'indirizzo IP gia' usato precedentemente) porta all'apertura di un differente falso player anche lui con malware allegato

Questa una analisi VT

e questo il whois del sito
Ritornando alla pagina del 'Portone' c'e' da dire che fa' parte di un considerevole numero di pagine, tutte in lingua italiana, con link a malware che, contrariamente ad altre volte, dove l'hosting era su server stranieri (in genere USA, Russia, Cina ....) avviene questa volta su server italiano

Inoltre, a quanto risulta da una ricerca in rete, sembrerebbe che le pagine pericolose siano veramente in numero considerevole e con contenuti di solito ispirati a layout di pagine di blogs

Normalmente chi accede a queste pagine viene trasferito, se qli script sono abilitati sul browser, a siti con malware o che linkano a malware e tra quelle piu' pericolose sembrano esserci le pagine con url costituita da nome di persona piu' un numero dalle 2 alle 4 cifre. (boito1970, dossi1985, giacometti14 e molte altre ....)

Vsitandole si puo' trovare di tutto, da falsi plugin a falsi filmati quicktime tutti rigorosamente contenenti malware o exploit che tentano di sfruttare qualche vulnerabilta' dei players video.
I contenuti sono, come si vede, costituiti dal solito sistema utilizzato per far apparire la pagina ai primi posti di un ricerca in rete, con un testo senza senso ma zeppo di termini, di solito, di genere porno.

Questa la pagina che tenta di scaricare il falso filmato QT

che ad una analisi con VT
rivela il contenuto pericoloso che tra l'altro sembra essere hostato se server israeliano.
Capita anche, lo segnalo come curiosita', di trovare alcuni particolari codici come ad esempio questo che parrebbe illustrare un 'rimedio' al 'problema ' riscontrato da chi vuole generare falsi messaggi di errore che non verrebbero visualizzati da explorer se di dimensioni ridotte.
Il rimedio ? , aggiungere commenti di testo fino ad arrivare ad una dimensione che venga accettata dal browser, come si legge proprio nel commento allegato al codice.

Come sempre, uno dei rimedi piu' validi per proteggerci da questi contenuti pericolosi, e' quello di utilizzare un browser che ci permetta di disabilitare gli script java che sono i reponsabili per la quasi totalita' di questo tipo di attacchi.

Firefox con Noscript attivo, plugin che tra l'altro e' gia' rilasciato anche per la nuova versione del noto browser che uscira' a giorni, e' certamente una delle soluzioni migliori per bloccare gli script pericolosi contenuti in questi siti.

Edgar

2 commenti:

Juninho85 ha detto...

guarda...sto cercando di far capire ad avira che questi maledetti mediatubecodec altro non sono che specchietti per allode con lo Zlob....loro insistono che si tratta di un componente di windows....
http://analysis.avira.com/samples/details.php?uniqueid=Qv50kE9MKN7D55BFJ55OVWYw95nj3J1f&incidentid=159868
stessa cosa per l'ormai celebre script che reindirizza a bannerupd...mi cadono veramente gli zebedei a terra...
hai mica qualche contatto diretto per spiegare come stanno effettivamente le cose?:)
non per altro visto la portata dell'attacco parecchi utenti sono esposti a questi rischi...

Edgar Bangkok ha detto...

Contatti non ne ho ma credo che comunque servirebbe a poco.
Tempo fa avevo segnalato alcuni problemi es. a panda AV per il fatto che non riconosceva pericolosi malware ma mai avuto risposta.
D'altronde se guardi ad esempio come Site Advisor MCAFEE cataloga gli ultimi siti coinvolti nei recenti attacchi...
Alcuni vengono catalogati come rischio invio di mails di spam mentre sappiamo bene cosa contengono (malware ed exploit ...)