mercoledì 25 febbraio 2009

Aggiornamento malware 25/02

Alcuni aggiornamenti sui files malware linkati da pagine italiane.

Come sempre evitate di visitare i siti ed i link elencati nel post se non avete preso le dovute precauzioni.

Si tratta infatti di links e pagine attive che propongono quasi sempre in maniera automatica il download di falsi player, plugin o install tutti in realta' malware pochissimo riconosciuto dai softwares antivirus piu' diffusi.

Fortunatamente la pericolosita', nel caso dei link inseriti in maniera nascosta, e' limitata dal fatto che la maggior parte di questi non viene normalmente mostrata a chi vista le pagine coinvolte.

I collegamenti vengono infatti principalmente utilizzati per forzare i motori di ricerca ad indicizzare con facilita i links proposti.
A conferma di questo per poter visualizzare i links nascosti, occorre spesso forzare il browser a fornire un 'user agent' del tipo Google Bot ossia simulare la visita del sito da parte del crawler del motore di ricerca.

Per quanto si riferisce invece ai numerosi link presenti sui post fasulli di forum anche .IT la pericolosita e' maggiore in quanto collegamenti ben visibili, inseriti a volte su foto (quasi sempre di genere porno), facilmente cliccabili e che puntano a pagine con malware quasi sempre aggiornato in tempo reale.

Vediamo ora alcuni odierni esempi:

Questo falso flash installer

su pagina linkata da post su forum italiano e che VT rileva poco conosciuto

Ecco invece un utilizzo ormai consueto per Google Groups. anche nella versione italiana

con link a contenuto variabile.
Vengono infatti caricate ad ogni click sul link differenti pagine tra le quali:

oppuredifferenti come indirizzo ip ma comunque che propongono tutte malware poco riconosciuto:

Uno dei range IP coinvolti mostra una notevole quantita' di siti dubbi


Questo invece un sito .IT che risulta aggiornato nelle date degli eventi elencati e quindi online ed attivo

che, ad esempio sulla homepage, ospita un grande numero di links

che tramite redirect su sito polacco puntano in automatico a pagina

che scarica un eseguibile (con nome variabile a seconda del valore chiave aggiunto in url) che praticamente e sconosciuto ai principali softwares av presenti su VT


Per finire ecco una caso che non rientra nei precedenti ma che e' comunque interessante.

Si tratta di una particolare url che imita il noto sito di archiviazione immagini photobucket.com

e che , tramite redirect, cliccando sul codice php, scarica sul pc una falsa immagine jpg (notare la doppia estensione ) che e' malware poco riconosciuto dai principali softwares AV

Ed ecco un riassunto sia dei files scaricati che del loro range IP di provenienza che non e' necessariamente quello della pagina con il falso player, ma puo' essere un links ad altro sito, utilizzato solo per hostare il file malware.


Anche questa volta si nota in maggioranza una origine Est Europea.

Edgar

Nessun commento: