mercoledì 23 luglio 2008

Malware assortito

Esaminando un IP appartenente a

si nota la presenza di un gruppo di siti tutti sicuramente pericolosi

Esaminiamone in dettaglio alcuni:

I due siti presenti che propongono video porno (il nome di quello relativo a video 'italiani' e' molto simile ad uno precedente gia' visto) mostrano il solito falso player con la richiesta di caricare l'activex necessario per visualizzare il filmato.

Da notare come si utilizzi un ingegnoso sistema per variare il nome del falso codec da scaricare a seconda del sito (italian o australian....)
Basta infatti sostituire il valore numerico nella url con qualunque valore per ottenere una differente 'versione' del malware.

In realta' si tratta sempre dello stesso file eseguibile ridenominato in automatico a seconda dei valori presenti nella url del link.

Un whois del server che ospita il file pericoloso punta a :

Un'altra pagina interessante e' quella relativa a falsi 'crack' per le piu' diverse applicazioni.

In questo caso il malware viene distribuito come file eseguibile che dovrebbe contenere la lista dei codici utili per eseguire software protetto.
Il file eseguibile e' in realta un malware del genere Zlob scarsamente riconosciuto dai software AV (tra gli altri anche Kaspersky che normalmente e' sempre aggiornato nel riconoscere nuovi malware questa volta non rileva il pericolo)

Sempre sullo stesso IP abbiamo alcune applicazioni antivirus fasulle che pero' al momento, sembra non abbiano link attivi ai relativi files scaricabili.

Edgar

Nessun commento: