sabato 4 luglio 2009

Distribuzione 'assortita' di malware su falsi profili utente di forum .IT (Aggiornamento 04/07)

AVVISO IMPORTANTE!
Ricordo che anche se alcuni collegamenti sono lasciati in chiaro negli screenshot, evitate di visitare i siti linkati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).Si tratta di pagine con link ad eseguibili malware scarsamente riconsciuto.

Uno dei metodi piu' diffusi per generare links a siti pericolosi e' quello di diffondere migliaia di links a malware attraverso l'inserimento degli stessi su pagine che possano essere facilmente indicizzate dai motori di ricerca.

I links possono essere inseriti in pagine create appositamente ed incluse all'interno di siti compromessi, su post fasulli inseriti su uno dei tanti forum che si trovano in rete oppure all'interno di falsi profili utente.

Poco importa che si visiti i dettagli di uno di questi profili 'fake' in quanto la maggior parte di questi links verra comunque indicizzata dai motori di ricerca apparendo quasi sempre ai primi posti dei risultati ottenuti.

Quello che vedremo ora e' un forum di Universita' del Nord Italia che ospita centinaia di profili utente creati appunto per gli scopi visti ora e che presentano la particolarita' di redirigere, tramite sito intermedio, ad un vasto assortimento di pagine con link ad eseguibile malware, tra l'altro scarsamente riconosciuto.

Iniziamo visionando il forum dell'universita'

che dai post inseriti appare attivo e che contiene centinaia di profili utente 'fake' aggiornati in data recente

Ed ecco un dettaglio di uno di questi profili, con link che non lasciano dubbi , su quello che sara' il contenuto pericoloso dei siti che andremo a visitare.

Il primo redirect avviene , come si vede da questo log,

sfruttando il servizio web free di TinyURL.

Successivamente il sito intermedio , hostato al momento su IP olandese, redirige la navigazione su differenti siti tutti o quasi con allegato link ad eseguibile malware.

Vediamo i dettagli di alcuni di questi siti:

Sito 1

con link a file exe che VT vede come


Sito 2


con link a file exe che VT vede come


Sito 3

con link a file exe che VT vede come


Sito 4


con link a file exe che VT vede come


Inoltre e' presente un link a questo motore di ricerca per contenuti porno


La maggior parte di questi siti distribuisce files eseguibili che, tranne in un caso, mutano costantemente il codice per tentare di eludere meglio il riconoscimento da parte dei piu' diffusi softwares AV.

Inoltre in molti dei casi visti, il sito con malware, esegue un check dell'IP di provenienza del 'visitatore' non proponendo in casi come ad es. IP THAI il download dell'eseguibile malevolo.

Ed ecco un report degli eseguibili scaricati visitando i siti in elenco

(Il numero fra parentesi nel nome del file viene automaticamente inserito da Firefox poiche ' nel folder di downlaod erano presenti piu' copie degli stessi files)

Come si vede un bell'esempio di distribuzione multipla di file pericolosi ed aggiornati e che propone ancora una volta il problema dei link pericolosi presenti in rete.

Edgar

Nessun commento: