lunedì 20 giugno 2011

Non solo Windows. User Agent e malware (20 giugno)

Anche se le parole chiave della ricerca ed alcuni links sono in chiaro, evitate di seguire i links proposti dal motore di ricerca se non avete preso tutte le dovute precauzioni.
E' vero che si tratta probabilmente solo di falsi AV ma, a parte la laboriosa bonifica necessaria se si installasse 'per sbaglio' il software scaricato, non e' mai da escludere che insieme al falso Av non venga attivato qualche malware piu' pericoloso.

Nei giorni scorsi abbiamo esaminato la presenza di codici inclusi su siti legittimi anche IT (particolarmente presi di mira quelli ospitati da hoster ligure) ed attraverso i quali, come risultato di ricerche in rete, si veniva direttamente reindirizzati su false pagine di scanner AV online che proponevano files eseguibili malware.(poco o niente riconosciuti dai reali softwares AV attraverso una scansione VT)

Come scritto qui, qui e qui si trattava di falsi software Av che denotavano un comportamento particolarmente “aggressivo” nei confronti del PC sul quale venivano installati producendo il blocco delle connessioni di rete dei browsers installati nonche' l'impossibilita' di eseguire softwares come il task manager ecc...

Approfitto della pubblicazione su http://techpatterns.com/forums/about304.html di una “Firefox UserAgent Switcher list” aggiornata da poco (16 giugno) attraverso la quale scopriremo come in effetti la distribuzione di malware attraverso pagine incluse non si limiti solo a colpire macchine che utilizzano i noti sistemi operativi Microsoft.

Per chi distribuisce malware e' sicuramente importante 'raggiungere' il maggior numero di utenti Internet e non solo quelli che utilizzano OS Microsoft e per fare questo l'uso dell'User Agent e' un sistema molto semplice per verificare quale browser e relativo sistema operativo stiamo utilizzando.

Ricordo che si intende come User Agent (da Wikipedia):

“............. un'applicazione installata sul computer dell'utente che si connette ad un processo server. Esempi di user agent sono i browser web, i lettori multimediali e i programmi client (Mail User Agent) come Outlook, Eudora, Thundirbird, Pine ed Elm. Oggi il termine e' utilizzato soprattutto in riferimento ai client che accedono al World Wide Web. Oltre ai browser, gli user agent del web possono essere i crawler dei motori di ricerca, i telefoni cellulari, ecc........ “

Quando gli utenti di Internet visitano un sito web, e' solitamente inviata dal browser una stringa di caratteri che identifica al server lo User Agent ed e' appunto attraverso l'uso di Firefox UserAgent Switcher che la modificheremo 'simulando' un diverso User Agent e un differente OS in uso.

Vediamo alcuni dettagli:

Iniziamo con questa ricerca in rete

che propone una url che appare come il 'solito codice di pagina inclusa:

Si tratta di risultato indicizzato di recente, come si nota dalla indicazione presente.

Adesso possiamo attivare l'addon Firefox UserAgent Switcher per vedere cosa praticamente accade modificando l'User Agent :

Ecco con un User Agent XP

Si tratta del classico layout ormai presente ormai da anni nel panorama dei fake scanners AV.
Una analisi del malware mostra il noto basso riconoscimento come sta succedendo ormai da qualche settimana nel caso di codici linkati da questo genere di pagine incluse.

Il livello di dettaglio nei particolari e' tale per questa distribuzione di eseguibile che si arriva ad una diversa risposta per un

User Agent relativo a Windows 7 (sempre cliccando sul medesimo risultato di ricerca visto prima) :


Si puo' vedere come sia il layout della pagina del fake scanner che la finestra di avviso abbiano caratteristiche che le fanno apparire piu' simili al nuovo OS rispetto al 'vecchio' layout XP

Altra curiosita', un whois di questa pagina mostra

differentemente dalla maggior parte dei whois visti in precedenza quasi tutti relativi a servers USA

Analizziamo ora lo stesso rsiultato di ricerca ma utillizzando un User Agent che 'simuli' un browser e relativo OS Apple:

Come si vede anche in questo caso esiste una pagina appositamente creata, con un layout che ricorda maggiormente quelli OS X, e che propone un file che analizzato da VT

non lascia dubbi sulla sua natura di malware

Naturalmente vista la diffusione di dispositivi mobili di accesso alla rete non poteva mancare un diverso link a stesso risultato Google, (anche per diversi sistemi mobili)

oppure

e diverso layout per


In questi ultimi casi (almeno nell 'attuale analisi), cosi' come per browser in OS Linux,

non parrebbero esserci link a malware ma solamente collegamenti diretti a pagine web di vario genere ma sempre legate all'argomento trattato dalla ricerca in rete.


Per terminare, ecco invece quello che accade se l'User Agent simula il bot di ricerca Google:

Come era prevedibile viene linkata la pagina inclusa allo scopo di permetterne l'indicizzazione dei contenuti da utilizzare quando effettueremo una ricerca in rete.

Edgar

Nessun commento: