In questo post del 2007 http://edetools.wordpress.com/2007/10/16/i-falsi-codec-video/ illustravo alcuni falsi siti di codec che in realta' distribuivano malware. (nota: il link punta al mirror del blog su Wordpress in quanto le vecchie immagini su Blogger sono state eliminate per ragioni di spazio disco)
A distanza di piu' di 2 anni ritorno sull'argomento illustrando un caso attuale, segnalato anche da www.downloadblog.it.
Si tratta di un server con IP riconosciuto come svedese, da quanto risulta con un trace, ma che comunque sembra legato al nome di noto hoster usa , spesso coinvolto in distribuzione di pagine con problemi.
Come succedeva gia' tempo fa, sullo stesso IP troviamo decine di siti che distribuiscono eseguibili proposti come software di installazione di codecs ma anche client Torrent e player video.
Esaminiamo alcuni dettagli dei siti interessati collegati alla distribuzione degli eseguibili
Ecco la home di 3xcodec
che VT vede come
e l'identica pagina, tranne che per il nome del software proposto, e precisamente divoCodec.
Questo invece il sito che propone, sempre su stesso IP, un client torrent
che risulta ad una analisi VT
ma anche player video
con VT
Sia dalle date di registrazione dei domini che distribuiscono queste fake applicazioni, ma anche consultando database online di indirizzi pericolosi
si evidenzia che e' gia' da tempo sono in circolazione queste pagine, anche se, come si nota, su diverso IP.
Anche Safeweb Norton sembra confermare la pericolosita'del sito di falso Codec
ma riguardo al sito 3wplayer fallisce l'analisi indicandolo come SAFE (bollino verde)
, cosa ancora piu' strana trovando il software Symantec come uno di quelli che individuavano il problema nel file eseguibile del 3wplayer (questa una analisi VT del file alla data del marzo 2010)
Ritornando al falso software di installazione dei codec x3codec quando lo stesso viene eseguito si connette a diversi siti per scaricare altro malware sul PC
Ecco alcuni esempi legati a x3codec relativamente agli ulteriori file scaricati quando il programma e' eseguito sul PC
Attraverso l'uso di Curl sono stati scaricati ed esaminati alcuni dei files che x3codec preleva da remoto quando in esecuzione :
questa l'analisi VT di p2c18.exe
e tservice.dll
In particolare p2c18.exe viene visto, anche se non da tutti gli antivirus, come file pericoloso
Considerato che non tutti gli antivirus riconoscono i files eseguibili scaricati come pericolosi, e che quasi sempre questi files proposti come codecs, players, client torrent ecc... sono aggiornati dai loro creatori per eludere i controlli dei softwares Av, la protezione migliore e sicuramente quella di consultare in rete se sono disponibili informazioni al riguardo del programma che vogliamo installare.
Quasi sicuramente, se si tratta di software malevolo troveremo tramite una ricerca, riferimenti alla sua pericolosita' e ai possibili danni che potrebbe arrecare se eseguito sul nostro PC.
Edgar
A distanza di piu' di 2 anni ritorno sull'argomento illustrando un caso attuale, segnalato anche da www.downloadblog.it.
Si tratta di un server con IP riconosciuto come svedese, da quanto risulta con un trace, ma che comunque sembra legato al nome di noto hoster usa , spesso coinvolto in distribuzione di pagine con problemi.
Come succedeva gia' tempo fa, sullo stesso IP troviamo decine di siti che distribuiscono eseguibili proposti come software di installazione di codecs ma anche client Torrent e player video.
Esaminiamo alcuni dettagli dei siti interessati collegati alla distribuzione degli eseguibiliEcco la home di 3xcodec
che VT vede come
e l'identica pagina, tranne che per il nome del software proposto, e precisamente divoCodec.
Questo invece il sito che propone, sempre su stesso IP, un client torrent
che risulta ad una analisi VT
ma anche player video
con VT
Sia dalle date di registrazione dei domini che distribuiscono queste fake applicazioni, ma anche consultando database online di indirizzi pericolosi
si evidenzia che e' gia' da tempo sono in circolazione queste pagine, anche se, come si nota, su diverso IP.Anche Safeweb Norton sembra confermare la pericolosita'del sito di falso Codec
ma riguardo al sito 3wplayer fallisce l'analisi indicandolo come SAFE (bollino verde)
, cosa ancora piu' strana trovando il software Symantec come uno di quelli che individuavano il problema nel file eseguibile del 3wplayer (questa una analisi VT del file alla data del marzo 2010)
Ritornando al falso software di installazione dei codec x3codec quando lo stesso viene eseguito si connette a diversi siti per scaricare altro malware sul PC
Ecco alcuni esempi legati a x3codec relativamente agli ulteriori file scaricati quando il programma e' eseguito sul PCAttraverso l'uso di Curl sono stati scaricati ed esaminati alcuni dei files che x3codec preleva da remoto quando in esecuzione :
questa l'analisi VT di p2c18.exe
e tservice.dll
In particolare p2c18.exe viene visto, anche se non da tutti gli antivirus, come file pericolosoConsiderato che non tutti gli antivirus riconoscono i files eseguibili scaricati come pericolosi, e che quasi sempre questi files proposti come codecs, players, client torrent ecc... sono aggiornati dai loro creatori per eludere i controlli dei softwares Av, la protezione migliore e sicuramente quella di consultare in rete se sono disponibili informazioni al riguardo del programma che vogliamo installare.
Quasi sicuramente, se si tratta di software malevolo troveremo tramite una ricerca, riferimenti alla sua pericolosita' e ai possibili danni che potrebbe arrecare se eseguito sul nostro PC.
Edgar
Nessun commento:
Posta un commento