sabato 6 settembre 2008

Pagine incluse in sito come links a falsi antivirus ma non solo

Continua la distribuzione di applicazioni antivirus fasulle in quantita' ormai paragonabile a quella dei falsi codec video malware che fino a poco tempo fa' erano uno dei principali espedienti per far scaricare codice malevolo da internet.
Come visto nei precedenti post ora si adotta la medesima strategia, cioe' falsi player e codec video, per far scaricare applicazioni AV fasulle.

A questa tecnica dei falsi player per filmati porno si affiancano anche differenti sistemi per proporre il link alla falsa applicazione Av e precisamente l'inclusione di pagine nascoste all'interno di normali siti web.

Questa che vediamo e' la attuale homepage di un sito italiano che si occupa di motocross

Al suo interno , in un folder denominato _images/ , sono stati incluse una grande quantita di pagine (2897)

come questa che vedete

La pagina ricalca il layout di un blog e contiene al suo interno uno script java offuscato

che deoffuscato punta apagina che sua volta reindirizza a sito che distribuisce una falsa applicazione antivirus

Come succede spesso con questi siti che distribuiscono falsi antivirus simulando la scansione online vengono proposte differenti pagine quando si visita ripetutamente il sito

Un whois della falsa applicazione punta a

gia' noto IP collegato a distribuire di malware, false applicazioni av ecc....

Il file di setup del falso antivirus al momento e' riconosciuto da non molti dei softwares presenti in Virus Total.


Simile struttura di pagine 'aggiunte al sito' la possiamo vedere in questo sito web di albergo siciliano


che presenta in questo caso piu di 3300 pagine nascoste con medesimo script offuscato gia' visto in precedenza



In piu' sia la home page del sito che alcune altre pagine presentano una lunga serie di links, resi nascosti dall'uso di uno script, con collegamenti a siti che hanno subito uguale attacco e che ospitano migliaia di pagine nascoste tutte che puntano sempre alla medesima pagina.

Questo uno schema che riassume, a grandi linee quanto visto in questo post:

Vediamo indicati i siti con nella homepage i links nascosti che puntano a pagine non visibili contenute su differenti siti, notando che tutte le pagine non visibili contengono un javascript che reindirizza su una pagina di riferimento che a distanza di ore, o giorni, a comando di chi amministra tutto il sistema di distribuzione malware, puo' puntare a pagine diverse di falsi AV, siti porno con malware , codec video fasulli ecc.......

A confermare questo, a distanza di un giorno, all'apertura di una delle pagine nascoste viste sopra si viene reindirizzati su questo sito porno

anziche' sul falso antivirus visto in precedenza.

Ancora una volta lo scopo finale e' quello di creare il maggior numero possibile di riferimenti per i motori di ricerca con lo scopo di far apparire ai primi posti di una ricerca in rete le pagine che propongono malware, falsi Av ecc....

Come gia' detto altre volte, ad aumentare la diffusione di questo genere di distribuzione di malware con inclusione di pagine nascoste, ci pensa anche la diffusa abitudine di abbandonare , una volta creati, siti web senza provvedere ad amministrarli correttamente o addirittura dimenticandosene dopo poco tempo dalla loro creazione,

Un esempio per tutti questo sito

che porta l'annuncio che e' stato trasferito su altro dominio ma che comunque, come dimostra lo screenshot, continua a funzionare come fonte di links a supporto di tutto il sistema di distribuzione malware visto prima.

Edgar

Nessun commento: