mercoledì 19 agosto 2009

Utilizzo di MYBLOG.IT per diffondere links a malware , pharmacy ecc... (aggiornamenti)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che alcune delle pagine linkate presentano contenuti con malware attivo e poco riconosciuto.

Continua numerosa la presenza su MYBLOG.IT di pagine create appositamente per diffondere links a siti malware, pharmacy o comunque di dubbia affidabilita'

Ecco alcuni ulteriori dettagli sul sistema di links nascosti presenti a centinaia nelle pagine blog create di recente
I link presenti sui 'fake blogs' come primo passaggio redirigono su questo sito ( dominio PL) hostato su
che presenta centinaia di pagine come questa


che in maniera automatica (javascripts) puntano a differenti siti tutti 'rigorosamente' con contenuti pericolosi, o in alternativa con pagine di falsi motori di ricerca che propongono siti di pharmacy, siti di vendita di video hard ecc...

E' importante ricordare che linkandosi a questi siti viene quasi sempre eseguito un controllo dell'IP di provenienza del visitatore e di conseguenza modificata la risposta da parte del sito che distribuisce i links che per certi ranges IP propone solamente una pagina di falso motore di ricerca.

Vediamo ora alcuni nuovi ed aggiornati esempi di quanto e' possibile scaricare seguendo i collegamenti presenti in maniera nascosta sui falsi blog:

Questo falso sito (whois Olanda) di filmati hard (anche in questo caso con attivato il riconoscimento dell'IP di provenienza e conseguente download attivo solo per determinati ranges)

Il falso codec (scaricato da server tedesco) risulta essere ad una analisi VT


anche questa volta sempre poco riconosciuto.

Ecco ancora un nuovo player online

con eseguibile proposto come Flash plugin , che ad una analisi VT risulta essere

Ancora un altro esempio di player che copia il layout di player in alta definizione (HD)


con un eseguibile (scaricato da server con Spagna) e visto da VT come


Come si vede, un completo campionario, aggiornato in tempo reale, di quanto di meglio si puo' trovare in rete al fine d distribuire malware e con eseguibili che quasi sempre mutano il loro codice frequentemente allo scopo di evitare il riconoscimento da parte dei softwares AV.

Ricordo inoltre che, anche nei casi visti ora, lo scopo finale di queste inclusioni di links in maniera nascosta e' sempre quello di favorire l'indicizzazione delle centinaia di collegamenti presenti per proporli ai primi posti dei risultati di una ricerca in rete mentre per chi visitasse questi blog non sembrerebbero, almeno al momento, esserci problemi , in quanto tutti i links al sito PL di redirect risultano invisibili al visitatore e non cliccabili.

Edgar

Nessun commento: