In riferimento a quanto segnalatomi il 26/7 sul 'DB segnalazioni phishing e malware' collegato al blog, e pur essendo passati un po di giorni, si possono ancora trovare in rete siti IT che continuano ad ospitare codici con link a fake scanner AV online, che tenta di distribuire un eseguibile probabile fake AV
Ecco un dettaglio della pagina linkata in automatico da sito IT compromesso
notando, come abbiamo visto anche per recenti azioni di pharmacy, che solo passando un referrer di ricerca Google si puo' attivare il redirect,
mentre in assenza dello stesso viene solo visualizzata una delle decine di pagine che fungono da fonte di keywords di riferimento quando il bot del motore di ricerca visita il sito compromesso.
Cosi come succedeva per i siti compromessi al fine di linkare a pharmacy solo un link alla pagina originato da ricerca in rete attivera' quindi il redirect sul sito del falso scanner AV
Chiaramente l'uso di redirect permette di utilizzare siti per la distribuzione dell'eseguibile che premettono di aggiornare costantemente i contenuti malevoli.
La prova e' infatti che pur a distanza di parecchio tempo il fake AV e' sempre scarsamente riconosciuto dai reali softwares AV.
Questa una attuale analisi VT dell'eseguibile
linkato dal fake scanner online con whois est europeo
Per verificare l'esatta natura del malware proviamo quindi ad eseguirlo in virtual box Linux ottenendo
Si tratta del ben noto e diffuso Win 7 Internet Security 2012 gia' analizzato in passato ad esempio in questo post, dove venivano anche evidenziati molti siti IT compromessi.
Edgar
Ecco un dettaglio della pagina linkata in automatico da sito IT compromesso
notando, come abbiamo visto anche per recenti azioni di pharmacy, che solo passando un referrer di ricerca Google si puo' attivare il redirect,
mentre in assenza dello stesso viene solo visualizzata una delle decine di pagine che fungono da fonte di keywords di riferimento quando il bot del motore di ricerca visita il sito compromesso.
Cosi come succedeva per i siti compromessi al fine di linkare a pharmacy solo un link alla pagina originato da ricerca in rete attivera' quindi il redirect sul sito del falso scanner AV
Chiaramente l'uso di redirect permette di utilizzare siti per la distribuzione dell'eseguibile che premettono di aggiornare costantemente i contenuti malevoli.
La prova e' infatti che pur a distanza di parecchio tempo il fake AV e' sempre scarsamente riconosciuto dai reali softwares AV.
Questa una attuale analisi VT dell'eseguibile
linkato dal fake scanner online con whois est europeo
Per verificare l'esatta natura del malware proviamo quindi ad eseguirlo in virtual box Linux ottenendo
Si tratta del ben noto e diffuso Win 7 Internet Security 2012 gia' analizzato in passato ad esempio in questo post, dove venivano anche evidenziati molti siti IT compromessi.
Edgar
Nessun commento:
Posta un commento