venerdì 20 marzo 2009

Aggiornamento 20 marzo malware e falsi AV

N.B. Ricordo ancora una volta che i links elencati puntano a siti tuttora online e pericolosi ed ai relativi files eseguibili scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie).

Continua la presenza su forum italiani di links a pagine contenenti malware sotto forma di falsi players video, codecs, ecc....


Ecco ad esempio questo forum che tramite post in data di ieri propone un falso player video

che cliccato redirige su pagina che tenta di indurre chi la visita al download di un eseguibile visto da VT come

Questo un altro post sempre su forum IT che invece propone links a pagina di noto clone Youtube con contenuti porno:

con links a:

Da notare come tutti questi files siano scarsamente riconosciuti dai principali softwares Av almeno per quanto riferito ad una scansione online.

Una analisi della provenienza degli IP su cui vengono hostati i files eseguibili visti ora


mostra

Si tratta di ranges IP di pagine web hostate su servers di provenienza est europea, in parte o in tutto coinvolti nella distribuzione di malware e false applicazioni AV.

Una scansione di detti ranges porta infatti a trovare ad esempio una pagina contenente codice java offuscato exploit

che una analisi rileva come exploit
e che tra le altre cose tenta di scaricare ed eseguire il file

individuato da VT come


Un'altra interessante pagina , tra le decine di quelle presenti sul range IP, propone invece questa versione 2009 di falso antivirus

che anche in questo caso dimostra la quasi nulla percentuale di positivita' del file, ad una analisi dei piu' noti AV.

Edgar

Nessun commento: