sabato 26 giugno 2010

Shakira, Mondiali 2010, Youtube e links ad adware (26 giugno)

L'utilizzo di eventi a diffusione mondiale per tentare di distribuire malware o comunque, come in questo caso, software catalogato come possibile adware, vede questa volta coinvolti video Youtbe della nota canzone proposta da Shakira per i Mondiali 2010 di calcio.

Come rilevato da Sunbelt blog qualche giorno fa, e come accade tuttora, vengono utilizzati video della canzone di Shakira, 'Waka Waka' per linkare a sito che propone un eseguibile catalogato es. da Prevx come

Vediamo alcuni dettagli:

In questo screenshot potete vedere come il video venga associato a un link, che, forse per evitare meglio eventuali filtri da parte di Youtube, usa un noto servizio di URL shortening,

proponendo un collegamento a

Nella pagina oltre a ben evidenti links per il download viene assicurata l'assenza di qualsiasi spyware presente con l'eseguibile che andremo ad installare .

Cliccando su uno dei collegamenti presenti ecco la pagina che propone l'eseguibile

che analizzato con Virscan (VT non era al momento raggiungibile) mostra alcuni (molto pochi) software AV che catalogano il file come pericoloso.

E' anche possibile che, non traddandosi comunque di malware, molti software AV, non evidenzino FLVpro.exe nella loro analisi.

Che l'evento Mondiali 2010 in unione a filmati Youtube, venga utilizzato per distribuire software di dubbia qualita' o links a siti poco affidabili lo vediamo in quest'altro screen

dove un video sempre riguardante la medesima canzone presenta un collegamento a sito, che propone come prima videata, un form, disponibile anche in lingua italiana,

per partecipare a lotteria online, e nel quale la frase (ripetuta 3 volte) “ .. HAI.. vinto …” diventa una riga sotto '...POTRESTI...' e dove viene ben indicato, anche se in inglese, che “...se non vuoi ricevere mails di pubblicita' …. NON aderire a Free Lotto....”


Edgar

1 commento:

Edgar Bangkok ha detto...

Per chi mi chiede info al riguardo di un sito per sapere se ci sono problemi , mi pare che Google attualmente continui a considerarlo pericoloso.
In dettaglio due giorni fa Google safe browsing segnalava “ .....Google visited this site was on 2010-06-25, and the last time suspicious content was found on this site was on 2010-06-25.
Malicious software includes 138 scripting exploit(s), 11 trojan(s), 9 worm(s).....'. ma come gia' accaduto, totalmente oppure in parte potrebbero anche essere falsi positivi.
In ogni caso una ricerca su Norton Safe Web rileva su alcune pagine del sito in questione, degli scripts che cataloga come malevoli e che quindi parrebbero comunque pericolosi …
Dettagli al link http://safeweb.norton.com/report/show?url=luca-mercatanti.com&x=0&y=0
Visto che Norton Safe Web per le pagine che considera pericolose propone la loro url completa, risultera' possibile per chi a creato e/o gestisce il sito, e che quindi e' sicuramente al corrente di quello che ha implementato negli scripts,, valutare facilmente se esiste la presenza sulle stesse di script pericolosi oppure si tratta di falsi positivi.
Edgar