Quella che vediamo e' la pagina odierna di uno dei tanti forum, su .IT, che linkano a malware.
Questa volta l'utilizzo di .gif animate, cosa non comune, fino a qualche tempo fa, riguarda le immagini porno allegate al post.
Si tratta di una serie di gif che sono scaricate da un sito con whois USA che tramite un redirect
connette, chi clicca su una delle immagini o sui links presenti nel testo del post, a questa pagina
su server con IP, appartenente ad hoster ucraino, che tra le altre cose ha l'indirizzo del sito che, per cercare di rendersi il meno possibile visibile, propone una pagina di account sospeso, quando in realta' e' ben funzionante.
Esaminando in dettaglio l'url del falso player si puo' notare come anche questa volta sia presente il diffuso sistema di caricare differenti layout e relative finestre di avviso attraverso una codifica numerica presente sull'indirizzo (es ..../1/... ..../2/.... ecc...)
Quella che vediamo e' una animazione che propone i diversi layout presenti variando la chiave numerica da 1 a 5:
A questo punto, in maniera automatica, se gli scripts sono attivi sul browser, oppure cliccando sull'immagine del player viene scaricato un file eseguibile che esaminiamo in dettaglio.
Come altre volte il file eseguibile non risiede sul medesimo server che hosta il sito web di falsi player ma su
sfruttando il sistema della codifica dell'url che richiama il download del file eseguibile che presentera' diversi valori di checksum a seconda del valore numerico presente come nome di file.
Vediamo come, ad esempio, variando di qualche unita' il nome del file exe originario (in giallo),
otteniamo un differente valore di checksum sul file exe scaricato
Il risultato e' infatti il download di un file eseguibile, sempre con il medesimo nome c-setup.exe , ma che analizzato presenta diversi valori di checksum . (nel report si vedono nomi diversi di file setup dovuti al programma che effettua il download e che rinomina i files per permetterne il salvataggio tutti nel medesimo folder. Es ( C-setup(1) .... (2)......... (n))
In definitiva con un valore numerico differente nel nome verra; scaricato un file con differente codice MD5 o SHA1.
Il malware, e' come sempre poco conosciuto dai vari software AV
ed una volta in esecuzione sul pc colpito stabilisce alcune connessioni Internet ad esempio con
dove notiamo tra gli altri anche un link a
anche questo gia' noto hoster di siti e pagine pericolose.
Edgar
Questa volta l'utilizzo di .gif animate, cosa non comune, fino a qualche tempo fa, riguarda le immagini porno allegate al post.Si tratta di una serie di gif che sono scaricate da un sito con whois USA che tramite un redirect
connette, chi clicca su una delle immagini o sui links presenti nel testo del post, a questa pagina
su server con IP, appartenente ad hoster ucraino, che tra le altre cose ha l'indirizzo del sito che, per cercare di rendersi il meno possibile visibile, propone una pagina di account sospeso, quando in realta' e' ben funzionante.
Esaminando in dettaglio l'url del falso player si puo' notare come anche questa volta sia presente il diffuso sistema di caricare differenti layout e relative finestre di avviso attraverso una codifica numerica presente sull'indirizzo (es ..../1/... ..../2/.... ecc...)Quella che vediamo e' una animazione che propone i diversi layout presenti variando la chiave numerica da 1 a 5:
A questo punto, in maniera automatica, se gli scripts sono attivi sul browser, oppure cliccando sull'immagine del player viene scaricato un file eseguibile che esaminiamo in dettaglio.Come altre volte il file eseguibile non risiede sul medesimo server che hosta il sito web di falsi player ma su
sfruttando il sistema della codifica dell'url che richiama il download del file eseguibile che presentera' diversi valori di checksum a seconda del valore numerico presente come nome di file.Vediamo come, ad esempio, variando di qualche unita' il nome del file exe originario (in giallo),
otteniamo un differente valore di checksum sul file exe scaricato
Il risultato e' infatti il download di un file eseguibile, sempre con il medesimo nome c-setup.exe , ma che analizzato presenta diversi valori di checksum . (nel report si vedono nomi diversi di file setup dovuti al programma che effettua il download e che rinomina i files per permetterne il salvataggio tutti nel medesimo folder. Es ( C-setup(1) .... (2)......... (n))
In definitiva con un valore numerico differente nel nome verra; scaricato un file con differente codice MD5 o SHA1.
Il malware, e' come sempre poco conosciuto dai vari software AV
ed una volta in esecuzione sul pc colpito stabilisce alcune connessioni Internet ad esempio con
dove notiamo tra gli altri anche un link a
anche questo gia' noto hoster di siti e pagine pericolose.Edgar
3 commenti:
http://www.giorgiotave.it/forum/mondo-open-source/61501-penna-usb-autopartente.html
Warning: A virus or unwanted program has been found in the HTTP Data.
Requested URL: http://www.giorgiotave.it/forum/mondo-open-source/61501-penna-usb-autopartente.html
Information: Contains recognition pattern of the HTML/Infected.WebPage.Gen HTML script virus
Mi pare un falso avviso ...
Ho dato una occhiata al momento di caricare la pagina e mi pare tutto normale
adesso l'avviso non c'è più
magari era una pubblicità via javascript
Posta un commento