sabato 1 ottobre 2011

Siti IT compromessi (01 ottobre)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti dai contenuti poco affidabili (possibile presenza di malware, exploit ecc....) che distribuiscono anche eseguibili poco riconosciuti dai software AV.

Si tratta di un sito IT relativo a cartoleria, hostato su server Usa, e di cui una ricerca in rete trova attualmente online pagine come questa:

contenenti un codice offuscato, facilmente analizzabile

e che si rivela essere il layout di una pagina di fake player di filmati porno

La semplice pagina web con immagine e link a sito di redirect, viene presentata cliccando sui risultati della ricerca Google, sempre che gli scripts java siano attivati sul browser.

Il fake player (immagine) redirige su sito con whois

e codice offuscato,

che consiste in un ulteriore redirect a

E' una ulteriore fake pagina di filmati a carattere porno che risultano pero', secondo l'avviso presente, bloccati dal player flash.
Per poter visualizzare detti filmati il sito, consiglia di scaricare un player video in alternativa al flash player.

Cliccando sul link veniamo ulteriormente rediretti su

che in automatico presenta il download di un eseguibile da quasi 3 MB che tra l'altro appare dimensione inusuale per un semplice trojan.
Normalmente infatti i files eseguibili malware, fake Av ecc... camuffati da player video, plugin od install di flash player hanno dimensioni di pochi KB (al massimo qualche centinaio)

Questo quanto proposto da una analisi VT dell'eseguibile

Si tratta di un basso riconoscimento del file, che comunque potrebbe essere proprio dovuto al fatto che piu' che di malware vero e proprio l'eseguibile appartenga alla estesa categoria di applicazioni adware …......

In effetti i giudizi sul sito che distribuisce il player video visto ora vanno da un 'SAFE site' di Norton Safe Web


che contrasta sulla maggior parte dei giudizi espressi esempio sia di WOT

che di McAfee Site Advisor

Inoltre su diversi blog e siti che si occupano di malware (es. malwaredomainlist) lo stesso sito compare da tempo come distributore di file eseguibile catalogato come applicazione trojan.

Un test dell'applicazione in Vbox mostra

con installazione oltre che di un software player molto limitato, e che non e' stato possibile testare, anche di una toolbar automaticamente installata su Firefox,

tipico comportamento di applicazioni adware.

In ogni caso, se si considera il sistema utilizzato per pubblicizzare il file attraverso l'utilizzo di siti compromessi che collegamenti a fake pagine di movies porno, parrebbe giusto considerare, sia il programma che il sito che lo distribuisce, come di dubbia affidabilita'.

Edgar

Nessun commento: