giovedì 1 luglio 2010

Utilizzo di servizio IT di hosting dinamico per linkare a malware

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Una ricerca in rete porta attualmente a trovare centinaia di riferimenti a siti dall'indirizzo nomesito.homepc.it che linkano in maniera automatica a fake scanner AV, dating online, ecc.......

Vediamo i dettagli:

Ecco una ricerca odierna dove possiamo notare come da qualche ora siano presenti centinaia di riferimenti a siti su dominio homepc.it

Diversamente dai normali servizi di free hosting questa volta viene utilizzato un servizio free che si occupa di creare un dns dinamico attraverso dyndns.it.

Il DNS Dinamico e' una tecnologia che permette ad un nome DNS in Internet di essere sempre associato all'indirizzo IP di uno stesso host, anche se l'indirizzo cambia nel tempo.

In altre parole, se passassimo il nostro attuale indirizzo IP Internet al servizio fornito da dyndns.it, potremmo creare una url (nomesito.homepc.it) cliccando sulla quale raggiungeremmo il nostro computer.
Una volta attivato il servizio potremmo quindi condividere files, dati ma anche un nostro sito WEB.

Chiaramente visto il nostro IP dinamico, ogni volta che ci riconnettessimo ad internet dovremmo comunicare al servizio di dns dinamico, in maniera manuale od automatica tramite un software installato sul pc, il nostro nuovo indirizzo perche' questo venga ri-associato all'url creata in precedenza.


Evidentemente la facilita' con la quale si possono registrare nuovi indirizzi web su dns dinamico ha indotto chi gestisce la distribuzione di malware a sfruttare il servizio free messo a disposizione da dyndns.it.

Come vediamo da una analisi degli ip associati ai siti creati per diffondere malware gli indirizzi variano con diversi whois USA, UK, Germania..ecc..

Per quanto si riferisce ai contenuti malware, tutti i siti tra quelli esaminati su homepc.it e dal nome come generato in maniera casuale, redirigono in automatico a pagine di falso motore di ricerca che propone


oppure

dagli evidenti contenuti dubbi se non pericolosi (notate il falso link a microsoft.com per proporre un antivirus)

Questo e' ad esempio lo scanner AV fake proposto dal link precedente

che tenta di farci eseguire

file che che esaminato con VT mostra che circa la meta' dei reali AV individua il problema

Un whois del falso scaanner AV punta a questo IP portoghese.

Edgar

Nessun commento: