lunedì 18 agosto 2008

Novita' su players video e falso antivirus malware

Anche se la mails di spam ricevuta oggi propone ancora una volta un falso player video con relativo falso setup di activex abbiamo una importante novita'

Questa la pagina linkata in mail e presente all'interno di 'normale' sito compromesso

A differenza di altre volte, si nota anche la presenza di un iframe nascosto

che contiene un link a falso antivirus cliccando sul bottone 'close the page'




ma questa volta abbiamo una importante novita' al riguardo.

Se esaminiamo infatti il contenuto del falso codice di activex da installare per eseguire il player video e lo confrontiamo con il file chiamato scanner.exe, che dovrebbe essere il programma di scansione installato dal falso antivirus, abbiamo:

Risulta evidente, affiancando i due report di Virus Total, che si tratta in realta' del medesimo file, anche se con nomi diversi.
In altre parole questa volta il falso antivirus non e' la consueta applicazione che mostra una scansione fasulla del pc e la falsa presenza di codici pericolosi sul pc ma il medesimo pericoloso malware del falso player video.

Il falso antivirus e' hostato questa volta su diverso server rispetto al falso activex (che come al solito e' hostato dal sito compromesso) e precisamente su server turco e su IP appartenente allo stesso range del falso video visto in un precedente post.

Il fine di questa mail di spam e' quindi quello di tentare di far scaricare un file malware in due modi differenti ,in un primo momento attraverso l'installazione del player video fasullo ma se la cosa non andasse a buon fine, anche quello di proporre in uscita dalla pagina un antivirus che in realta' scaricherebbe sul pc il medesimo malware.

Risulta inoltre evidente come sia in atto una coinvolgimento sempre frequente di servers e hoster turchi nei continui tentativi di diffondere files malware.

Edgar

Nessun commento: