mercoledì 27 agosto 2008

Commenti pericolosi

Prendo spunto da un post apparso sul forum di Hardware Upgrade che indicava la presenza di 'strani' commenti su un sito italiano.
Ecco una breve analisi:
Questo uno dei commenti presenti:

che come si vede riporta un testo in inglese costituito da un elenco disordinato di parole di genere porno che , come sempre in questi casi, servono a facilitare possibili links da parte dei motori di ricerca.
La parte pericoloso del commento e' invece proprio il nome di chi lo ha postato, in questo caso 'ESTELLE' che riporta un link a pagina gia' vista altre volte in siti che distribuiscono malware.

La pagina in questione oltre ad alcuni links a siti porno contiene questo script offuscato

che decodificato presenta un link ad altro sito

Eseguito il link ecco cosa appare

si tratta della pagina di Google , in questo caso in thailandese, considerando che l'interrogazione del sito e' stata fatta appunto dalla Thailandia.

Chiaramente non si mette in atto un sistema del genere (falsi commenti con link, redirect a pagina con scripts, ecc...) solo per portare, chi clicca sul nome presente nel commento, ad una pagina Google e quindi vediamo cosa succede forzando un IP 'italiano'

Ecco la pagina caricata

che ci conferma il reale intento di chi ha inviato commenti di spam.
Si tratta di malware (variante zlob) sotto forma di falso setup di codec video come sempre abbastanza pericoloso in quanto pochissimo riconosciuto dai principali softwares antivirus.

Un whois punta a

Inoltre, come succede quasi sempre, interrogando la homepage del sito che serve il falso codec abbiamo solo la pagina di test del server web.


C'e' da dire , che ancora una volta, si dimostrano di una certa pericolosita' i commenti di spam aggiunti a forum, blogs ecc... con links di questo tipo, in quanto, chi cliccasse sul link presente, senza avere gli scripts java disabilitati nel browser, si troverebbe direttamente sulla pagina di download del falso player con tutte le conseguenze del caso se accettasse di scaricare ed eseguire il file proposto.

Fortunatamente, almeno nel caso visto ora, sembra che il sito sia amministrato correttamente, e i falsi commenti, siano gia' stati rimossi.

Edgar

Nessun commento: