martedì 1 settembre 2009

Ancora il “solito problema” della distribuzione di falsi AV su forum anche di P.A.

Questo un forum di Comune italiano


che attualmente distribuisce, attraverso piu' di 300 post fasulli al giorno, un link a falso scanner Av.
Questo uno dei messaggi 'tipo' postati sul forum, con intervalli di pochi minuti uno dall'altro

e che se cliccati sulle immagini presenti puntano, nel caso odierno, a sito .CN


che a sua volta redirige su


Il falso scanner AV proposto,

tenta di far scaricare un file eseguibile install(dot)exe che muta continuamente il codice per tentare di eludere meglio i controlli AV.
Ecco infatti una verifica dei codici HASH su alcuni eseguibili scaricati in rapida sequenza


Una analisi VT indica il file come

e come succede spesso non sono molti i softwares che rivelano il pericolo.

Ancora una volta siamo in presenza di un problema molto 'comune' (a parte il gioco di parole) relativo a siti, molte volte anche di Amministrazione Pubblica, che creati e messi online vengono 'abbandonati' da chi dovrebbe gestirli.

Tra l'altro, in questo specifico caso, il link al forum e' in evidenza proprio sulla homepage

ed e' evidente come dalle date di creazione del sito si tratti di un layout della pagina molto recente che vede il link facilmente cliccabile da chiunque con eventuali rischi per chi visualizzasse i posts fasulli e ne seguisse i links.

E' anche importante evidenziare come , il mantenere online un forum, come nel caso visto ora, senza amministrarlo, porti a 'spiacevoli effetti secondari', riguardo ad esempio una ricerca in rete.
Se proviamo in fatti a ricercare il nome del Comune , di cui si scrive nel post, in unione alla parola 'forum' appare al primo posto di una ricerca questo risultato

dovuto al fatto che il motore di ricerca indicizza le pagine del forum come tutte le altre pagine del sito, restituendo cosi' dei links che poco hanno a che fare con un sito di Amministrazione Pubblica ma molto con la distribuzione di software pericoloso o comunque che, se eseguito, crea problemi per la sua successiva disinstallazione.

Inutile dire che la stessa ricerca in rete del nome del Comune in questione associata a chiavi di ricerca come ad esempio 'porn' portera' ai medesimi risultati visti sopra.

Una soluzione a questi problemi, tra l'altro molto semplice, e rapida, potrebbe quindi essere quella di disabilitare il link presente in home al forum , ma anche di disabilitare l'accesso al forum stesso mettendolo OFFline almeno sino a quando non si decidesse di amministrarlo seriamente.

Edgar

Nessun commento: