In un precedente post abbiamo visto i diversi metodi di distribuzione del file eseguibile Flash-HQ-plugin.xxxxx.exe, (xxxxx come numero casuale) che ad una analisi VT risultava praticamente non rilevato.
A distanza di tre giorni il file continua ad essere distribuito in maniera estesa attraverso i sistemi gia' descritti nel recente post
Interessante notare che myblog.it risulta ancora adesso, una delle maggiori fonti di links, che puntano attraverso differenti pagine, al file eseguibile.
Ecco una ricerca attuale che vede i risultati Google aggiornati da pochi secondi
e che mostra la presenza di un buon numero di blog creati da utenti 'fasulli' , con argomenti attuali (nuova influenza, ostaggi ....ecc....) allo scopo di diffondere il file eseguibile pericoloso.
Tra l'altro un log relativo al download di una delle pagine blog con incluso i links
evidenzia data molto recente di aggiornamento , cosa che confermerebbe i risultati della ricerca Google.
Le centinaia di links presenti puntano a pagine ospitate su siti compromessi,
e che a loro volta linkano differenti siti sia con pagine che imitano motori di ricerca
che propongono scanners AV online fasulli
ma anche falsi player che chiedono di aggiornare il plugin per la visione dell'inesistente filmato
Entrambe le pagine viste ora distribuiscono Flash-HQ-plugin.xxxxxxx.exe che adesso viene rilevato come probabile falso AV da soli 4 softwares del report VT
Da notare che il sorgente della pagina del blog evidenzia come per ogni link presente sia associata anche una descrizione che dovrebbe facilitarne la ricerca in rete,
in quanto, anche in questo caso, i links non sono direttamente cliccabili da chi visitasse il falso blog. ('display = none' presente)
Edgar
A distanza di tre giorni il file continua ad essere distribuito in maniera estesa attraverso i sistemi gia' descritti nel recente post
Interessante notare che myblog.it risulta ancora adesso, una delle maggiori fonti di links, che puntano attraverso differenti pagine, al file eseguibile.
Ecco una ricerca attuale che vede i risultati Google aggiornati da pochi secondi
e che mostra la presenza di un buon numero di blog creati da utenti 'fasulli' , con argomenti attuali (nuova influenza, ostaggi ....ecc....) allo scopo di diffondere il file eseguibile pericoloso.
Tra l'altro un log relativo al download di una delle pagine blog con incluso i links
evidenzia data molto recente di aggiornamento , cosa che confermerebbe i risultati della ricerca Google.Le centinaia di links presenti puntano a pagine ospitate su siti compromessi,
e che a loro volta linkano differenti siti sia con pagine che imitano motori di ricerca
che propongono scanners AV online fasulli
ma anche falsi player che chiedono di aggiornare il plugin per la visione dell'inesistente filmatoEntrambe le pagine viste ora distribuiscono Flash-HQ-plugin.xxxxxxx.exe che adesso viene rilevato come probabile falso AV da soli 4 softwares del report VT
Da notare che il sorgente della pagina del blog evidenzia come per ogni link presente sia associata anche una descrizione che dovrebbe facilitarne la ricerca in rete,
in quanto, anche in questo caso, i links non sono direttamente cliccabili da chi visitasse il falso blog. ('display = none' presente)
Edgar
Nessun commento:
Posta un commento