domenica 8 marzo 2009

Aggiornamento 8 marzo, malware linkato da siti .IT

Ricordo come sempre che i vari indirizzi web elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.

Sempre presenti in rete pagine nascoste su siti .IT o falsi post su forum .IT, che distribuiscono links a malware sotto forma di falsi player, codec ecc...

In molti casi la distribuzione di malware viene alternata con links a falsi software AV e sovente i files eseguibili sono scaricati sul pc solo se gli IP di provenienza appartengono a determinati ranges (es. europei)

Ecco alcuni aggiornati esempi, dove si nota in parte dei siti linkati la presenza di un file malware con origine comune.

Questa una pagina nascosta all'interno di sito italiano

che come si vede include un codice offuscato

che punta sia a pagina con falso player

e relativo file malware ( server che verifica IP di provenienza del visitatore)


ma anche a falso antivirus scarsamente riconosciuto

Questo invece un forum con post aggiornati alla data odierna

che puntano, oltre che a pagine di pharmacy, anche ad alcuni 'soliti' cloni di youtube

con falso flash player malware


Abbiamo anche alcune pagine , con layout simile ma questa volta con differente logo al posto del consueto porntube:

che propongono questo falso codec


In ogni caso sembra che parte dei files pericolosi abbiano origine comune e vengano ostati su server olandese , come si nota da un report relativo alla provenienza degli eseguibili.



Inoltre come accade su questi links aggiornati in tempo reale, i contenuti pericolosi sono pochissimo rilevati dai piu utilizzati software AV presenti su report Virus Total, tenendo sempre in considerazione i limiti sul riconoscmento, che potrebbero intervenire nell'uso di uno scanner online on-demand al riguardo dei risultati ottenuti.

Edgar

Nessun commento: