giovedì 15 ottobre 2009

Falsi utenti blog su myblog.it,falsi post su forum IT, pagine incluse su siti IT tutti per distribuire links al medesimo fake AV (agg. 15 ottobre)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links anche a files eseguibili spesso poco riconosciuti dagli AV.


Da qualche giorno la maggior parte di siti compromessi IT, dai falsi post su forum IT, ai links inclusi su falsi blog in myblog.it passando per links proposti da pagine incluse in siti IT compromessi a decine, presentano come risultato finale, uno scanner online che propone sempre il medesimo eseguibile sotto differente nome.

Questo falso antivirus e' distribuito ad esempio, dalla presenza di falsi blog su myblog.it creati esclusivamente per generare centinaia di links a falso AV nei risultati di una ricerca in rete.

Questo uno dei nuovi blog su myblog.it

creato appositamente per contenere al suo interno una grande quantita' di links

che tramite questa pagina intermedia simile a blog (sempre che l'IP di provenienza del visitaore sia tra quelli abilitati (es IP italiano))

puntano al falso scanner online che distribuisce lo stesso eseguibile presente nelle pagine linkate anche da altri siti IT compromessi.

Ecco invece una pagina attualmente online di falso post su forum IT (da notare che almeno 10 sono stati visitatori del post)

con links a questo sito clone di Youtube con contenuti porno, la cui presenza ancora una volta legata a falso scanner (vedi questo post) (questo post) ed anche (questo post) ........

e che ripropone il medesimo eseguibile di fake AV.

Una attuale analisi VT vede praticamente nullo il riconoscimento almeno per quanto si riferisce ad una scansione On-line On-Demand (con tutti i limiti che comporta) del file scaricato.


Per una analisi piu' dettagliata del file eseguibile rimando al prossimo post.

Edgar

Nessun commento: