martedì 5 agosto 2008

Download Video via index1.php Nuova variante di falso player video su siti .IT

Nei giorni scorsi abbiamo visto numerosi siti .IT con inclusa al loro interno una pagina che proponeva un falso aggiornamento flash player ed anche, in alcune, un iframe con exploits di vario genere.
Sembra che adesso il tentativo di far scaricare pericoloso malware abbia una nuova ulteriore fonte.
Sono infatti apparse da poco nuove pagine incluse all'interno di siti .IT che si differenziano da quelle viste nei giorni scorsi come vediamo da questa ricerca in rete.

Anche questa volta i siti colpiti oltre alla pagina nascosta ospitano il file eseguibile del falso player ed inoltre il nome della pagina varia da sito a sito ( index6.html ...index12.html ecc...)
E' interessante notare come questa volta la pagina possa essere caricata richiamandola con l'url del nome del sito seguita da /index1.php.

Vediamo ad esempio questo sito .IT


nel quale e' presente la pagina nascosta

questo un log della connessione al sito


e questo il codice sorgente della pagina

con all'interno i riferimenti al falso player malware ed anche un iframe nascosto che al momento non sembra pero' attivo mentre il malware e' come sempre poco riconosciuto dai softwares AV

Il nome del file eseguibile , tra l'altro, risulta variare a seconda del sito che ospita la pagina del falso player cosi' come cambia il nome del file html che costituisce la pagina con i links e l'immagine del player


Aggiornamento 05/08

Sembra che adesso sia presente anche la variante della pagina con il falso movie catalogato come “Shoking Video”
Non so se la cosa sia voluta o meno ma c'e' da notare che la parola inglese presente nella pagina shocking viene scritta come shoking con un banale errore che potrebbe pero' dimostrare la non provenienza da paese di lingua inglese dei creatori di questo genere di attacchi.

Edgar

3 commenti:

TIZIANO TESCARO communicator,Vicenza ha detto...

Chiedo scusa per avermi inserito chiedendovi se per favore mi date info come togliere una finestra popup che si a pre quasi sempre sul mio blog blogspot, questo da 1 mese circa. Ho passato all'antivirus e spybot il pc ma è tutto ok. La finestra si apre solamente quando visito il mio blog. Il link è: http://tescaro.blogspot.com/ vi ringrazio anticipatamente e buona giornata

Edgar Bangkok ha detto...

Ho dato una occhiata al blog ed usando Internet Explorer si apre in effetti anche a me un popup pubblicitario anche se non tutte le volte (sembra che esca in maniera randm)
Dato che nel codice del tuo blog non mi pare ci siano links diretti a qualche sito che propone popup publictari ho analizzato il log della connessione quando si carica il blog.
Nella connessione effettuata quando si carica il blog risultano presenti molte chiamate a diversi domini Bravenet (come d'altronde logico in quanto vedo che utilizzi nel blog diversi link a servizi Bravenet) Host: mercury.bravenet.com; mars.bravenet.com ecc......
Succeessivamente viene eseguito un
GET /cgi-bin/traffic/incoming/redir2b.cgi <------- link
Accept: application/x-shockwave-flash, image/gif, i..........
Referer: http://tescaro.blogspot.com/
Accept-Language: en-us
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: www.adminder.com <----- link
Connection: Keep-Alive

Come si vede chiaramente si linka a www.adminder.com/cgi-bin/traffic/incoming/redir2b.cgi che poi non e' altro che il contenuto del popup che appare sul blog.(provando il link si apre una pagina con i contenuti del popup)
Ora, dato che tra i testimonials di Bravenet (http://www.bravenetmedianetwork.com/testimonials.php) esite, guarda caso proprio adminder.com probabilmente la comparsa del popu non e' altro che il ridultato di un collegamento restituito in automatico quando carichi un link Bravenet che hai sul tuo blog.
Ti consiglio di provare ad eliminare momentaneamente gli scripts dei servizi Bravenet che hai aggiunto al blog e verificare se il problema si risolve.
C'e' anche da dire che Bravenet per poter offrire un servizio gratuito deve in qualche modo avere un ritorno pubblicitario e quindi probabilmente i popup sono quello che si deve sopportare per usufruire del servizio free di Bravenet.
Saluti.
Edgar

TIZIANO TESCARO communicator,Vicenza ha detto...

Grazie 1000 Edgar seguirò i consigli. Nel frattempo mi sono ricordato che tempo fa mi hanno commentato il blog in modo strano un certo loap con 3 mess. inglese. Hoprovato a canc. canc il primo automaticamente sono spariti gli altri 2 e ora la finesta nn si apre più. Proverò a verificare ancora e se il problema è risolto allora erano questi 3 mess al postl. Grazie ancora e buona gg