sabato 16 agosto 2008

Esempio di Forum

Si tratta, come riporta il titolo del post, di un forum su sito .IT messo online per mostrare le "funzionalita'' di questo tipo di applicazione web a chi aveva probabilmente ordinato la creazione del sito.

Anche se e' rimasto solo un 'esempio'(di forum) per chi avrebbe dovuto utilizzarlo , cio' non toglie che, essendo a tutti gli effetti online e funzionante, adesso sia diventato un notevole 'esempio' al riguardo del problema ormai dilagante sui forum, di falsi post contenti testi, immagini e links allo scopo di diffondere ogni sorta di malware, software fasullo (falsi antivirus) e link a siti di dubbia affidabilita'.

Infatti e' sempre piu' facile trovare in rete forum che sono diventati solo collettori di links pericolosi specialmente nel caso di siti pubblici o privati che, per vari motivi, non sono amministrati correttamente da chi li ha creati o da chi li utilizza per la propria attivita'.

Nel caso che vedremo adesso ,abbiamo la creazione, in maniera continua, di un nuovo post o una replica a post precedente con links a malware o falsi AV ogni circa 3 minuti, post che si va ad aggiungere alle migliaia di messaggi ormai presenti sul sito.
Questo, mette a disposizione per chi si interessa a pagine malware o falsi siti AV una fonte aggiornata di links visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i posts.

Questa la pagina principale che da accesso al forum di ”prova” che e' costituito da unico argomento e cioe' “Esempio di forum” ma con migliaia di posts

Visualizzando l'elenco messaggi e relativo time appare evidente la rapidita' con la quale ne vengono aggiunti di nuovi.

Considerando che nei post appare oltre alla parte contenete i links anche un testo contenente parole o frasi che ricordano i contenuti del post lo scopo finale di questo flusso continuo di messaggi fasulli e' chiaramente quello di avere il massimo numero di links ai primi posti di una ricerca in rete tramite motori di ricerca.

Vediamo ora alcuni esempi di post tratti dagli ultimi piu' recenti presenti nel forum

Questo un post che sfrutta sia link di testo ma anche link inseriti in immagini.


e questa la pagina intermedia che appare cliccando su una delle immagini

La pagina e' una consueta 'galleria' di foto porno con links a falso aggiornamento di player Flash anche se poi il nome del file eseguibile da scaricare viene proposto come codec video.

Questo un whois relativo al serve che hosta il file proposto per il download

Come al solito il file eseguibile malware e' pochissimo riconosciuto dai softwares AV

Un secondo esempio mostra un differente problema al falso player video proposto


in questo caso un activex da scaricare per visualizzare correttamente il consueto filmato porno

In questo post invece il link testuale

punta a pagina con javascript offuscato in maniera abbastanza semplice

che a sua volta linka a pagina con malware di cui vediamo un report VT

e con whois

Come si vede da questi primi casi esaminati la risposta dei diversi software AV e molto bassa in quanto si tratta di pagine aggiornate come contenuto malevolo frutto dei links attuali contenuti nei posts

Questo un ultimo esempio interessante in quanto a fronte di un unico link iniziale presenta differenti risultati a seconda se si visita il sito proposto in tempi diversi.
Esiste in questo caso un sito intermedio che si occupa di variare il link finale proposto.
Ecco il post costituito da un falso player video (immagine gif animata) e altre immagini jpg con stesso link

Qui vediamo la pagina di falso antivirus che viene caricata cliccando sul falso player presente nel post

Sempre cliccando sul link presente puo' capitare di invece questa pagina con un'altra versione di aggiornamento di falso player Flash

Un'altra pagina collegata al medesimo link visto ora e' invece questa che propone non solo un falso player malware ma anche alcuni iframes

Come si vede, dal codice presente nei diversi iframes , la natura dei contenuti e' ben evidente gia' dai nomi con cui vengono chiamate le diverse funzioni che li costituiscono

Si tratta infatti di exploits di vario genere personalizzati anche a seconda della versione del linguaggio utilizzato dal sistema operativo Windows

Un whois della pagina con iframes punta a

Anche se come questo 'Esempio di Forum" ne esistono online moltissimi altri, quello visto ora, rimane quindi sicuramente una fonte aggiornata di tutto quello che e' collegato a falsi AV, falsi players video e siti con malware visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i links presenti nei post.

Edgar

Nessun commento: