martedì 8 settembre 2009

Bmblog

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che la presenza di scripts offuscati, nonche' di precedenti avvisi Google, potrebbe indicare la possibile pericolosita' delle pagine.

Sono centinaia ed a ogni nuova ricerca in rete sembra che aumentino di numero i siti anche in italiano, ed hostati su

(o comunque su IP riconducibili a questo hoster inglese) che mostrano incluse al loro interno pagine che ricordano un layout di blog.

Una ricerca attuale evidenzia che da pochi minuti il motore di ricerca ha indicizzato alcune nuove pagine,
e con data di pubblicazione attuale come si nota da questo screenshot


Ecco alcune delle pagine il cui layout e' simile a blogs e che sono incluse nei siti all'interno di folders sempre con il medesimo nome e precisamente /bmblog/



Una analisi del codice mostra la presenza di due script

di cui uno offuscato.

Al momento, sembrerebbe che una volta aperta nel browser, la pagina del blog fasullo si limiti alla sola connessione a Statcounter, come si nota da un report Fiddler

oltre che a 'recuperare' le immagini presenti sulla pagina attraverso links a diversi siti.

Una analisi dello script offuscato con VT porta a questi risultati

che comunque non sono significativi in quanto solo avvisi generici derivati dalla presenza dello script con codice offuscato

Anche una analisi con Wepawet ritorna i medesimi risultati senza evidenziare la natura dello script offuscato


Alcuni dei siti trovati presentano comunque l'avviso di Google circa la presenza di links a malware o falsi AV come in questo caso


che sembrerebbe comunque riferito a problemi passati e non attuali.

Per quanto riguarda i links presenti sulla pagina del falso blog abbiamo decine di collegamenti ad altre pagine simili ed alcuni links a pagine con templates di blog.

(segue)

Edgar

Nessun commento: