mercoledì 9 settembre 2009

Bmblog (aggiornamenti 9 settembre 09)

Continua in maniera molto attiva l'inclusione di pagine con layout di falsi blog su siti anche .IT ma hostati su servers UK.

Come dimostra questa ricerca in rete, abbiamo una continua inclusione di nuove pagine di falso blog su diversi siti .IT

che , come vediamo da questo ulteriore dettaglio con ricerca per singolo sito,

vengono ripetutamente coinvolti nell'inclusione di nuove pagine.

Una ulteriore analisi dello script offuscato conferma che viene fatto uso di referrer per attivare o meno il links al falso scanners AV ed anche che viene effettuato un controllo degli IP di provenienza del visitatore per attivare o meno la pagina del falso AV e del relativo download del file eseguibile.
Una scansione VT vede variati i nomi di alcuni software che rilevano la minaccia (comunque sempre moto pochi)

in conseguenza del fatto che i contenuti del file sono periodicamente modificati per eludere meglio eventuali controlli AV.

Edgar

Nessun commento: