martedì 6 ottobre 2009

“Designed by free CSS templates” - Links a malware inclusi in siti .IT

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, (es. il ' fake' youtube) evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Normalmente , quando si utilizza un motore di ricerca, per isolare i links, ad esempio a pagine incluse all'interno di 'normali' siti web, e' utile individuare una serie di parole chiave che permettano di filtrare i risultati.
In questo caso “Designed by free CSS templates

e' la chiave di ricerca che ha permesso di individuare centinaia di pagine di 'fake' blog come questa hostate su server IT

e di cui vediamo il dettaglio della stringa di testo utilizzata come filtro nella ricerca.

Anche questa volta abbiamo decine di siti IT compromessi che hanno incluso al loro interno codici di pagine con layout simile ad un blog in una sorprendente quantita' di layout:




Se gli script java sono attivati nel browser, le pagine incluse propongono direttamente questo menu' gia' visto in passato,

dalle due scelte ininfluenti dato che entrambe i bottoni se cliccati puntano, tramite redirect su sito hostato in

Si tratta del 'consueto' falso sito di filmati porno (layout simile a youtube) con stesso whois del redirect


e con l'eseguibile di falso install flash player che VT vede sempre poco riconosciuto


Un whois dei siti colpiti (relativamente agli screenshot visti in precedenza) rileva gli stessi come hostati in prevalenza su questo IP appartenente a noto provider italiano:


Ricordo che, anche nei casi visti ora, la pericolosita' per chi visitasse i siti IT compromessi e' nulla in qaunto le pagine sono incluse in maniera nascosta e non raggiungibili per il visitatore, mentre sono linkate da una ricerca in rete che e' poi lo scopo per cui i falsi blog vengono creati.

Edgar

Nessun commento: