domenica 24 agosto 2008

Un altro interessante esempio di pagine nascoste con link a falsi antivirus

Precedentemente abbiamo visto come , attraverso pagine nascoste, all'interno di siti compromessi, si reindirizzi una ricerca web su falsi siti antivirus.
Quello che vediamo adesso e' un altro esempio che dimostra come in queste ultime settimane ci sia stato un notevole aumento di links a falsi AV che sono andati a sostituire i links precedenti a siti con falsi video porno in genere malware Zlob e varianti.

In questo sito IT abbiamo inoltre ben evidente il codice usato per creare un risultato selettivo in base al fatto che si apra la pagina nascosta attraverso una ricerca in rete o con link diretto.
Riconoscere se la pagina con javascript offuscato e' raggiunta da una ricerca in rete o richiamata direttamente consente, tra l'altro, a chi gestisce questo genere di attacchi, di mascherare meglio la presenza dei links pericolosi presenti nelle pagine nascoste all'interno dei siti colpiti.

Ecco la homepage del sito su dominio .IT che ospita le pagine nascoste con links a falso AV

ed ecco una delle pagine interne al sito

Si tratta come sempre di un testo con centinaia di termini 'porno' di vario genere che servono a favorirne una ricerca in rete.
Nel codice della stessa troviamo un javascript debolmente offuscato

che una volta decodificato

ci mostra come attraverso una verifica del referrer usato si venga reindirizzati su sito di falsi Av
o in alternativa venga creata una semplice pagina che imita quella usuale di “pagina non trovata”.

Il sito del falso software antivirus invece presenta , come sempre, la possibilita' attraverso un valore chiave inserito nella url, di visualizzare differenti layout di falso scanner AV
Qui ne vediamo due diversi esempi.

Che differiscono per la grafica utilizzata nel logo dell'applicazione.
Anche in questo caso alcuni softwares Av non riconoscono il falso programma.

Edgar

3 commenti:

Sbronzo di Riace ha detto...

questo lo conosci?

http://scanner.antivir-64.com/

Edgar Bangkok ha detto...

Non di nome ma come pagina e' praticamente uguale a un'altra decina di falsi Av
Ne escono di nuovi a centinaia ogni settimana...

tanto per non fare nomi .... :)

adware-download .com
windows-scanner2009 .com
antivirus2008free .com
antivirusfree2008 .net
antispyware2008scanner .com
softwareantivirus2008 .com
free-2008-antivirus .com
free-2008-antivirus .net
free-antivirus-2008 .com
free-antivirus-2008 .net
free2008antivirus .com
free2008antivirus .net
getas2008xp .com
software-2008-antivirus .com
software-2008-antivirus .net
software-antivirus-2008 .com
software2008antivirus .com
software2008antivirus .net
softwareantivirus .net
2008-software-antivirus .net
2008-xp-antivirus .com
2008antivirusfree .com
2008antivirusfree .net
2008antivirussoftware .com
2008antivirussoftware .net
2008antivirusxp .net
2008freeantivirus .com
2008freeantivirus .net
2008softwareantivirus .com
2008softwareantivirus .net
2008xpantivirus .net
2008-antivirus-free .com
2008antivirusxp .com
2008-free-antivirus .com
2008-free-antivirus .com
2008-free-antivirus .net
2008-antivirus-free .net
2008-antivirus-software .net
2008-antivirus .net
antivirus-2008-free .com
antivirus-2008-free .net
antivirus-2008-software .com
antivirus-2008-software .net
antivirus-free-2008 .com
antivirus-software-2008 .com
antivirus2008t-pro .com - (91.203.92.64; 78.157.142.7)
antivirus2008pro-download1 .com
antivirus2008pro-download2 .com
scanner.antivir64 .com
antivirus2008t-pro .com
antivirus-2008y-pro .com
systemscanner2009 .com - (89.18.189.44; 208.88.53.114)
xpdownloadserver .com
global-advers .com
xpantivirus .com
updatesantivirus .com
windows-scannernv .com
ratemyblog1 .com - (208.88.53.114)
windows-scanner2009 .com
systemscanner2009 .com
antivirus-database .com
antivirus2009professional .com
antivirus-2009pro .com
antivirus2009-scanner .com
global-advers .com
drivemedirect .com
windows-scannernv .com
webscweb-scannerfree .com - (58.65.238.106; 208.88.53.180)
freebmwx3 .com
mytube4 .com
beginner2009 .com
webscweb-scannerfree .com
antivirus2009-software .com
antivirus-database .com
purchase-anti .com
onlinescannerxp .com
virus-onlinescanner .com
spywareonlinescanner .com
xponlinescanner .com
virus-securityscanner .com
virus-securityscanner .com
webscannerfreever .com
blazervips .com
global-advers .com
xpantivirus .com
drivemedirect .com
windows-scannernv .com
mytube4 .com - (58.65.238.106)
beginner2009 .com
webscweb-scannerfree .com
securityscannerfree .com
xpcleaner-online .com
streamhotvideo .com
xpcleanerpro .com
onlinescannerxp .com
online-xpcleaner .com
antispyguard-scanner .com
virus-onlinescanner .com
microsoft.browsersecuritycenter .com
fastupdateserver .com
blazervips .com
xpantivirus .com
drivemedirect .com
fastwebway .com
xpantivirussecurity .com
wordpress.firm .in
megacodec .biz
mcprivate .biz
internet-defense2009 .com - (84.16.252.73)
myfreespace3 .com
greatvideo3 .com
internet-defense2009 .com
windows-defense .com
3gigabytes .com
teledisons .com
updatesantivirus .com
update-direct .com
xp-protectsoft .com
top-pc-scanner .com - (91.203.92.50; 92.62.101.43)
nortonsoft .com - (91.186.11.5)
powerantivirus-2009 .com - (91.208.0.233)
powerantivirus2009 .com - (91.208.0.233)
pwrantivirus .com - (91.208.0.231)
xp-guard .com - (92.62.101.35)
xpertantivirus .com - (91.208.0.230)
internetscanner2009 .com - (89.149.229.168)

ecc... ecc...... ecc............

Sbronzo di Riace ha detto...

bisogna dire che hanno fantasia :-)