Ricordo come sempre che i vari indirizzi web elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.
Sempre presenti in rete pagine nascoste su siti .IT o falsi post su forum .IT, che distribuiscono links a malware sotto forma di falsi player, codec ecc...
In molti casi la distribuzione di malware viene alternata con links a falsi software AV e sovente i files eseguibili sono scaricati sul pc solo se gli IP di provenienza appartengono a determinati ranges (es. europei)
Ecco alcuni aggiornati esempi, dove si nota in parte dei siti linkati la presenza di un file malware con origine comune.
Questa una pagina nascosta all'interno di sito italiano
che come si vede include un codice offuscato
che punta sia a pagina con falso player
e relativo file malware ( server che verifica IP di provenienza del visitatore)
ma anche a falso antivirus scarsamente riconosciuto
Questo invece un forum con post aggiornati alla data odierna
che puntano, oltre che a pagine di pharmacy, anche ad alcuni 'soliti' cloni di youtube
con falso flash player malware
Abbiamo anche alcune pagine , con layout simile ma questa volta con differente logo al posto del consueto porntube:
che propongono questo falso codec
In ogni caso sembra che parte dei files pericolosi abbiano origine comune e vengano ostati su server olandese , come si nota da un report relativo alla provenienza degli eseguibili.
Inoltre come accade su questi links aggiornati in tempo reale, i contenuti pericolosi sono pochissimo rilevati dai piu utilizzati software AV presenti su report Virus Total, tenendo sempre in considerazione i limiti sul riconoscmento, che potrebbero intervenire nell'uso di uno scanner online on-demand al riguardo dei risultati ottenuti.
Edgar
Sempre presenti in rete pagine nascoste su siti .IT o falsi post su forum .IT, che distribuiscono links a malware sotto forma di falsi player, codec ecc...
In molti casi la distribuzione di malware viene alternata con links a falsi software AV e sovente i files eseguibili sono scaricati sul pc solo se gli IP di provenienza appartengono a determinati ranges (es. europei)
Ecco alcuni aggiornati esempi, dove si nota in parte dei siti linkati la presenza di un file malware con origine comune.
Questa una pagina nascosta all'interno di sito italiano
che come si vede include un codice offuscato
che punta sia a pagina con falso player
e relativo file malware ( server che verifica IP di provenienza del visitatore)
ma anche a falso antivirus scarsamente riconosciuto
Questo invece un forum con post aggiornati alla data odierna
che puntano, oltre che a pagine di pharmacy, anche ad alcuni 'soliti' cloni di youtube
con falso flash player malware
Abbiamo anche alcune pagine , con layout simile ma questa volta con differente logo al posto del consueto porntube:
che propongono questo falso codec
In ogni caso sembra che parte dei files pericolosi abbiano origine comune e vengano ostati su server olandese , come si nota da un report relativo alla provenienza degli eseguibili.
Inoltre come accade su questi links aggiornati in tempo reale, i contenuti pericolosi sono pochissimo rilevati dai piu utilizzati software AV presenti su report Virus Total, tenendo sempre in considerazione i limiti sul riconoscmento, che potrebbero intervenire nell'uso di uno scanner online on-demand al riguardo dei risultati ottenuti.
Edgar
Nessun commento:
Posta un commento