Anche quest'anno, durante le festivita' natalizie, non poteva mancare il ricorrente post su chi distribuisce malware attraverso pagine ad argomento natalizio che redirigono su codici pericolosi.
Si tratta in genere di exploits che sfruttano vulnerabilita' piu' o meno recenti del browser o di altri applicativi installati sul PC.
Ecco i risultati di una attuale ricerca in rete
di cui vediamo, in dettaglio, questo esempio rilevato nella giornata di oggi, sotto forma di sito che presenta argomenti a carattere natalizio, testi e immagini di cards di auguri 2011 ecc..
In realta' si tratta di pagine che contengono un codice javascript che, se l'esecuzione degli scripts e' attiva sul browser, effettuano un redirect automatico su sito con exploit.
Ecco riassunti in questo report Fiddler i vari passaggi dalla pagina con immagini di cartoline di auguri a quelle (piu' di una) con codici malevoli
Tra i vari step del redirect interessante quello relativo al sito indicato dalla freccia che presenta whois
e di cui vediamo il contenuto del folder con i codici di redirects utilizzati
(notare date recenti piu' data e time attuale per un file txt contenente l'url a cui si viene rediretti dall'omonimo codice php e che ad intervalli di pochi minuti parrebbe essere aggiornata a diverso indirizzo web)
Si tratta sempre di diversi files php che puntano a differenti pagine di cui vediamo in dettaglio una analisi Wepawet
analisi che dimostra la presenza di codice pericoloso.
Questa, invece, una analisi VT del file flash linkato
che vede non molti softwares AV rilevare il file come pericoloso
Ripetendo l'analisi dei vari links presenti si viene, dopo la prima volta, rediretti su Google, segno della verifica dell'IP di provenienza di chi visita le pagine linkate dal falso sito di contenuti natalizi.
Edgar
Si tratta in genere di exploits che sfruttano vulnerabilita' piu' o meno recenti del browser o di altri applicativi installati sul PC.
Ecco i risultati di una attuale ricerca in rete
di cui vediamo, in dettaglio, questo esempio rilevato nella giornata di oggi, sotto forma di sito che presenta argomenti a carattere natalizio, testi e immagini di cards di auguri 2011 ecc..
In realta' si tratta di pagine che contengono un codice javascript che, se l'esecuzione degli scripts e' attiva sul browser, effettuano un redirect automatico su sito con exploit.
Ecco riassunti in questo report Fiddler i vari passaggi dalla pagina con immagini di cartoline di auguri a quelle (piu' di una) con codici malevoli
Tra i vari step del redirect interessante quello relativo al sito indicato dalla freccia che presenta whois
e di cui vediamo il contenuto del folder con i codici di redirects utilizzati
(notare date recenti piu' data e time attuale per un file txt contenente l'url a cui si viene rediretti dall'omonimo codice php e che ad intervalli di pochi minuti parrebbe essere aggiornata a diverso indirizzo web)
Si tratta sempre di diversi files php che puntano a differenti pagine di cui vediamo in dettaglio una analisi Wepawet
analisi che dimostra la presenza di codice pericoloso.
Questa, invece, una analisi VT del file flash linkato
che vede non molti softwares AV rilevare il file come pericoloso
Ripetendo l'analisi dei vari links presenti si viene, dopo la prima volta, rediretti su Google, segno della verifica dell'IP di provenienza di chi visita le pagine linkate dal falso sito di contenuti natalizi.
Edgar
Nessun commento:
Posta un commento