giovedì 22 gennaio 2009

Aggiornamento malware 22 gennaio 09

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi

Ecco un'altra serie di siti appartenenti a ranges IP (alcuni gia' segnalati in precedenti posts) che vediamo in questo report ottenuto con una delle ottime utilities reperibili su http://www.nirsoft.net/

ed alcuni dei files scaricati


dove ad esempio possiamo notare per un identico nome una diversa dimensione del file segno delle continue varianti del codice malware per eludere il riconoscimento da parte dei softwares AV.

Piu' in dettaglio

Si tratta, almeno dal nome di un fake AV che pero', guardando sia la dimensione (troppo ridotta per un eseguibile di install) che il risultato di una scansione VT ,

fa supporre che si tratti invece solo di un comune malware.
Anche una analisi con Anubis confermerebbe la natura malware del file.

Altra interessante serie di siti, la troviamo sempre sul medesimo range che ospita il falso AV
Si tratta di centinaia di pagine come questa

che hanno in comune il links, tramite javascript offuscato

ad applicazione di falso AV.

Edgar

Nessun commento: