lunedì 26 aprile 2010

Da forum IT un link a nuovo layout di 'fake' sito di filmati porno utilizzato per distribuire malware

AVVISO ! Ricordo, come sempre che, anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..)

La pratica di proporre, su forum legittimi, centinaia di post fasulli creati allo scopo di linkare a siti pericolosi , e' sempre molto diffusa.
In questi casi lo scopo principale, e' quello di utilizzare i forum come fonte di links a malware o fake AV , quando eseguiamo una ricerca i rete.

Vediamo alcuni dettagli:

Si tratta di un forum, facente parte di un sito relativo ad una lista civica che si e' presentata alle elezioni 2009 , e che probabilmente non viene piu' amministrato (anche il sito sembra non avere aggiornamenti recenti)
In compenso sono decine i post presenti che linkano a differenti siti, tutti con contenuti poco affidabili.

Ecco un post attuale

con immagini animate che simulano un player video e che, se cliccate, puntano ad un servizio di shortening URL e precisamente al noto bit.ly.

L'URL shortening (traducibile in italiano come "accorciamento degli URL") e' una tecnica utilizzata nell'ambito del Web per abbreviare lunghi indirizzi (URL) in link di pochi caratteri.
Questa possibilita' e' offerta gratuitamente da numerosi servizi web, tra cui i due piu' popolari sono Bit.ly e TinyURL (fonte Wikipedia)

Tra l'altro bit.ly mette a disposizione le statistiche relative all'uso dell'URL 'corta' generata, cosa che permette di evidenziare come nel caso specifico, la distribuzione dei post con link a fake sito di filmati, sia attiva solo da qualche giorno ,

coinvolgendo comunque un notevole numero di forum e non solo quello IT visto ora


Questa una anlisi degli accessi a bit.ly per la specifica URL 'corta' generata


Una volta cliccato sull'immagine presente o su uno dei link nel post, si vine rediretti (tramite bit.ly) su sito con whois

che presenta il seguente layout

e che propone, per la visione dei 'filmati' il download di un codec

sotto forma di questo file eseguibile

Una analisi VT dimostra che si tratta di malware, come sempre poco riconosciuto,

probabile keylogger come evidenzia Threath Expert in una sua analisi

Edgar

2 commenti:

Aniello ha detto...

Questo sito vorrei sapere se è infetto http://www.profanatore.com

Edgar Bangkok ha detto...

Mi pare una situazione particolare Esaminando il sito con un servizio free di analisi delle pagine web uno script presente nella home viene catalogato come pericoloso, cosa che confermerebbe le quasi mille pagine indicizzate da Google relative al sito e classificate come “This site may harm your computer. “
Tra l'altro l'ultima indicizzazione delle pagine risale a qualche ora fa e propone la segnalazione di allerta Google.
C'e' pero' da rilevare che analizzando manualmente il sorgente del sito non sembrerebbero esserci codici che linkino a malware. Potrebbe quindi trattarsi di un falso positivo ma nel dubbio e' sempre meglio cautelarsi utilizzando ad esempio noscript per bloccare eventuali esecuzioni di codici pericolosi. Tra l'altro anche se il sito e' aggiornato ad oggi, la presenza di segnalazione Google risale, la prima, adirittura a dicembre 2009.Non si capisce come mai chi amministra il sito non prenda i necessari provvedimenti... ed ignori completamente il problema degli allerta di Google.
Per di piu' essendo il sito composto da centinaia di pagine non e' facile verificarle tutte per escludere il problema, ma per esserne certi bisognerebbe analizzarle completamente tutte.

Edgar