lunedì 3 maggio 2010

'Come si usa il forum ?' .............

AVVISO ! Ricordo, come sempre che, anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..)

Il titolo di questo post prende spunto dall'argomento proposto in un forum dell'area docenti di una Universita' Italiana, titolo che, come vedremo, contrasta con il reale contenuto dei messaggi presenti.

In pratica tranne il primo post , creato tra l'altro in automatico dal programma di gestione del forum,

ci sono piu' di 5.200 posts che contengono links sia a malware che a pharmacy ….. creati a partire da data recente

Questi alcuni dettagli prendendo come esempio uno degli ultimi post che propongono un falso player costituito da una immagine cliccabile che redirige su falso scanner online.

Come si vede da questa analisi della connessione al falso scanner AV online

sono numerosi i redirect automatici in sequenza a partire dal click sull'immagine sino al sito di FAKE AV


Tutte le pagine 'intermedie' create per gestire il redirect al fake AV sono ospitate su servizi di “free hosting” locati in Germania (il primo redirect)

o in USA (gli altri redirect)

ed utilizzano un semplice codice come questo


A distanza di qualche minuto dal primo 'download' del file fake av, (questa l'analisi della connessione)


si nota che, a partire dal sito indicato dalla freccia, il percorso cambia, redirigendo sempre sul medesimo fake scanner (e stesso eseguibile)


ma questa volta su server

Inoltre, trattandosi di eseguibile attualmente online, come succede spesso, il fake Av e' praticamente sconosciuto ai softwares AV reali (almeno per quanto riguarda una scansione online come quella di VT)

Una ulteriore scansione a distanza di qualche ora mostra questa situazione ad un report VT

Una particolare cura e' posta da chi gestisce la distribuzione del file, nel renderlo poco riconoscibile , e questo viene fatto modificandone il codice ad ogni download. Come si rileva da una analisi dei codici MD5 - SHA1

Come si vede una gestione abbastanza complessa di distribuzione di fake AV tramite post creati allo scopo.

E' molto probabile che la distribuzione dei links al falso scanner online tramite il forum sia comunque solo uno dei 'canali' usati per diffondere questo tipo di malware.

Inoltre, da quanto visto in questo caso, il forum risulta totalmente NON amministrato, presumibilmente a partire dal momento della sua creazione come gia' detto al riguardo della sola presenza, essendo solo presente un unico post legittimo per di piu' generato in automatico come si legge nello stesso “.......messaggio di esempio creato dall'installazione …......'.

Edgar

Nessun commento: