mercoledì 23 dicembre 2009

Scaricando canzoni che sono ..... malware , dialers od eseguibili pericolosi

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati e/o scaricare files eseguibili, se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Su malwareurl.com (sito che mantiene un database aggiornato di indirizzi web pericolosi appartenenti a siti compromessi o creati per distribuire malware, falsi Av ecc....) e' comparso recentemente questo record

che come si vede dalla descrizione propone un eseguibile attraverso un sito in lingua italiana.

Ricordo, per chi volesse visitare malwareurl.com l'avviso presente sul sito , da tenere sempre nella dovuta considerazione

WARNING: All domains/IPs listed on this website should be treated with extreme caution.
Some of them will automatically infect your computer.

che tradotto significa che

tutti i domini/IP elencati sul sito devono essere trattati con estrema cautela dato che potrebbero, anche in maniera del tutto automatica, infettare il computer.


Vediamo ora alcuni dettagli del sito scaricando-canzoni(dot)com che ci porteranno a trovare numerosi altri siti simili ed anche due fake cloni del sito che distribuisce il noto software p2p Emule.

Questa la homepage in italiano


dove notiamo subito decine di nomi di files mp3 che sembrerebbero pronti al download ad un click del mouse.
In realta tutti i link presenti se cliccati

portano al download di un eseguibile visto da VT come

Inoltre una interessante caratteristica del sito e' che, dopo qualche decina di secondi, e cliccando sui links, abbiamo un refresh della pagina e, un differente file proposto che parrebbe essere un install del noto software P2P Emule

Il sito questa volta viene catalogato come pericoloso da Norton Safe Web

mentre Site Advisor propone un bollino verde di sito sicuro

Come si notava gia' dalle info presenti su malwareurl.com il sito e' hostato su server IT

Andando ad eseguire un reverse IP dell'indirizzo in questione, le sorprese non mancano



Ci troviamo infatti di fronte a decine di siti tra cui alcuni sono la copia esatta del sito di download mp3 ma in lingua francese
con il medesimo schema di download (prima l'eseguibile di ridotte dimensioni e poi l'install Emule)

Inoltre sempre sui risultati del reverse IP, possiamo trovare anche differenti layout in lingua italiana

ed inglese sempre con i medesimi file eseguibili

Analizzando i risultati del reverse IP abbiamo inoltre anche due fake siti di Emule che vediamo in questo screenshot


Anche questa volta l'eseguibile proposto e' sempre, a parte un differente nome, lo stesso di quello scaricato dai falsi siti di musica mp3, come si nota confrontando i codici MD5 delle analisi VT


Il file eseguibile, catalogato come trojan generico, potrebbe anche essere, come visto da Norton Safe Web, nel caso di uno dei siti visti sopra, un dialer.

Tutte le pagine viste ora, da un whois, parrebbero essere state registrate comunque da diverso tempo e con indirizzo che punta alla Spagna.


Ancora una volta appare evidente come, lo scaricare files eseguibili dalla rete, presenti numerose incognite e convenga sempre cercare di analizzare i contenuti del file , prima di eseguirlo sul nostro computer.

Oltre ad avere un software antivirus aggiornato (che comunque potrebbe in alcuni casi non essere in grado di rilevare quel particolare file) e' utile , specialmente per files scaricati da siti dubbi, eseguirne una analisi, con servizi come Virus Total, che molte volte riescono ad evidenziare un possibile pericolo presente e non visto dal nostro antivirus.

Al limite anche sottoporre il file ad un servizio online che lo analizzi nel dettaglio eseguendolo in sandbox, come ad es.:

http://anubis.iseclab.org/,

http://wepawet.cs.ucsb.edu/

http://www.threatexpert.com/

per citarne solo alcuni, potrebbe essere valido per identificare un possibile problema nel file eseguibile appena scaricato.

Altra importante possibilita di controllo ci viene poi fornita da una ricerca in rete sia del nome del file che dell'indirizzo web o range Ip del sito che proponeva l'eseguibile (ad esempio nel caso di falsi Av e' facile trovare avvisi e commenti di utenti internet che sono caduti nel tranello del falso software antivirus e chiedono consigli per rimuoverlo).

Edgar

Nessun commento: