domenica 17 agosto 2008

Connessioni internazionali

Nota: N.B. si tratta di pagine con collegamenti a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti.

Ecco un tipico esempio di come la diffusione di malware, specialmente in questo caso di falsi video, sfrutti la possibilita' della rete di gestire senza problemi links tra domini appartenenti a stati geograficamente molto distanti tra di loro.

E' il caso di questi siti giapponesi che presentano alcuni post al loro interno, con links a siti italiani compromessi da codici che linkano a falso video, in realta' malware quasi sconosciuto ai principali softwares AV.
Qui vediamo un esempio di whois

Queste due pagine di siti .jp dove si notano i post pericolosi.

Come vediamo entrambi puntano a siti .IT

che in automatico scaricano il falso video in realta' un file eseguibile

hostato su server turco.
Come al solito il codice che linka al malware e' nascosto all'interno dei due siti IT in un subfolder dal nome /movies/.
Tra l'altro il fatto che si tratti di server turco ricorda la grande quantita' di siti .IT soggetti ad hacking riferiti proprio alla Turchia come origine del problema.
Puo' quindi essere che questa volta non ci si sia limitati al consueto 'proclama' che va a sostituire la homepage del sito colpito ma si sia utilizzato codice che consente il link al malware.

Differentemente dai recenti siti .IT con il falso players Flash hostato sugli stessi, questa volta l'eseguibile malware e' hostato su diverso server con il vantaggio di poter modificare il codice del malware o far caricare diverso file malevolo quando se ne presenti la necessita' per eludere maggiormente i controlli AV

Edgar

Nessun commento: