giovedì 21 agosto 2008

Diffusione di falsi antivirus attraverso pagine nascoste su siti .IT

Esaminiamo questo nuovo caso di un sito di Comune italiano che ancora una volta ci dimostra come il problema di links a falsi antivirus ospitati su pagine nascoste sia sempre piu' attuale.

Questa la pagina introduttiva del sito comunale

che gia' al suo interno contiene inseriti nel codice numerosi links a siti appositamente creati per diffondere falsi softwares antivirus od a normali siti compromessi che al loro interno ospitano links a falso antivirus

Come se non bastasse da questa pagina si accede alla homepage del sito

che esaminato nella sua struttura presenta qualche sorpresa

Sono infatti ospitate in un subfolder nascosto decine di pagine imitanti un blog o un sito di news online e di cui vediamo un esempio

da queste, tramite script offuscato,

si viene connessi a differenti pagine di falso antivirus

Vediamo alcuni esempi:
Una pagina con falso messaggio di avviso e successivo links

oppure direttamente una pagina di falso AV.

Un whois di uno dei siti linkati punta a noto hoster gia conosciuto a chi si interessa di malware e applicazioni fasulle.


E' anche interessante notare come queste false applicazioni AV siano pochissimo riconosciute dai 'reali' softwares antivirus.
Questo si spiega con la possibilita' che ha chi gestisce la falsa applicazione di variarne il codice frequentemente.

Qui possiamo vedere riassunti in un unico schema i vari passaggi, che portano, dall'accesso ad una pagina nascosta nel sito comunale sino al caricamento del falso AV

Una applicazione pratica di questa inclusione di pagine nascoste la possiamo avere se andiamo ad interrogare un motore di ricerca con termini quali 'antivirus, porn ecc.....”

Viene in questo caso presentata una serie risultati riferiti a pagine appartenenti ai piu svariati domini (Giappone. Russia , USA ecc....) che ci porteranno con i loro links direttamente ad una delle pagine nascoste sul sito comunale e, se gli script sono attivi sul browser, ad un falso sito di software antimalware.

Edgar

Nessun commento: