martedì 26 agosto 2008

Aggiornamento falsi codec

Come sempre un semplice sistema per avere gli ultimi aggiornamenti sul malware circolante in rete e' quello di linkarsi ad uno dei molti forum , anche su dominio .IT, che , terminata la loro normale funzione in quanto non piu' utilizzati e/o non correttamente amministrati, diventano fonte continua di links a pagine malware.

Questa volta utilizziamo questo forum italiano associato ad un sito che si occupa di windsurf e che presenta migliaia di post, con aggiornamento continuo, tutti contenenti links a malware.
Ecco uno dei post odierni che presenta come vediamo collegamenti sia tramite immagine che link testuali

Come si vede abbiamo una unica immagine di grandi dimensioni che simula un falso sito di video online e di seguito decine di links sia ad altri forum che presentano lo stesso problema sia a siti con links pericolosi.

Cliccando sull'immagine veniamo portati su una delle consuete pagine di falso player , di cui vediamo il codice


e che, se gli scripts sono attivi sul browser, propone il download di un falso codec.
Questo un whois:

E' interessante notare come il codec non sia contenuto sullo stesso sito che propone il falso player m venga scaricato da un sito creato appositamente per distribuire falsi plugin e codec video


Come si vede si tratta di sito con un layout curato che propone il falso codec che si rivela ad una analisi VrusTotal come

poco riconosciuto dai softwares AV piu' usati.

Inoltre , come succede quasi sempre, il codice del falso codec varia ogni volta che si effettua un download dello stesso e questo per cercare di eludere meglio le verifiche da parte degli antivirus.

Sempre nel medesimo post abbiamo una serie di links utili nel dimostrare come anche una applicazione di Google e cioe' Google Notebook possa essere utilizzata per diffondere malware.
Ricordo che Google Notebook e' un servizio gratuito offerto da Google che fornisce la possibilita' di catturare e conservare in modo semplice piccole "clip" di pagine web.
Data che esiste la possibilita' di rendere condiviso in rete il proprio Google Notebook se ne e' subito approfittato per trasformarlo in una fonte di links anche con immagini, a siti malware.
Ecco una directory di Google Notebook di un utente creato appositamente

allo scopo di linkare pagine come questa

con relativo redirect su sito malware.

Oltre a questi links abbiamo anche la presenza di collegamenti ad altri forum con i medesimi contenuti di quello visto ora

tutti con lo scopo di rendere sempre piu' facile la comparsa di questi links nei risultati di una pagina di ricerca in rete.

Edgar

Nessun commento: