Un esempio iteressante e' il blog TENNIS HOBBY
che tra i suio post ne pubblica 2 da leggere con molta attenzione se non si vuole avere spiacevoli conseguenze sul computer che si sta usando.
In particolare
possiamo vedere nella parte bassa della home page 2 articoli che invitano a visionare 2 video che sarebbero presenti su Youtube
In realta' i due link corrispondono a due indirizzi ip che non sono certo del famoso sito di video online
Esaminiamo il primo.
Cliccando sul link si apre una pagina che ne vuole simulare una di Youtube (per la verita' a parte il logo si capisce gia' che c'e' qualcosa di strano, la pagina e' priva di particolari presenti su pagine similari di youtube, qui abbiamo solo una scritta e un logo.)
La cosa poi ancora piu divertente (si fa per dire) e' che si suggerisce al visitatore di fare un download e poi dare un run ..... del file scaricato... (dovrebbe essere un filmato !!!!)La realta' e' che invece del fantomatico filmato divertente, promesso dal post, se clicchiamo sul link ci scarichiamo sul pc un file eseguibile dal nome video.exe chiaramente contenente malware.
In questo caso gli antivirus che riconoscono il file sono circa il 90% di quelli testati su Virus Total.
Il malware e' riconosciuto come The Zhelatin worm, un worm diffuso prevalentemente vie e-mail ma anche attraverso un falso video di youtube.Il problema e' che al momento pare che non solo questo blog su blogger ma anche altri abbiano falsi link a pagine con malware che cercano di ingannare chi usa internet con il falso filmato Youtube.
Se provate con google a dare la seguente stringa di ricerca "this i not good. if this video" blogger troverete un discreto numero di blogs (una sessantina) che contengono questa stringa di testo associata al falso video Youtube.
Resta da capire se questi post con il falso video sono stati aggiunti dentro a normali blogs da qualcuno esterno al blog stesso oppure si tratta di blogs appositamente creati per cercare di colpire il maggior numero di pc.
SunbeltBlog avanza l ipotesi "Possibly through the Blogger mail-to feature (where you can email in a blog post)?" cioe' la possibilita' della diffusione sui blog attraverso l opzione che permette di postare una mail direttamente sul sito del proprio blog "Blogger mail-to feature" dato che il malware in questione e' stato diffuso ultimamente come un allegato di posta elettronica.
Edgar
3 commenti:
La pagina oltre a contenere il link al file video.exe (ora codec.exe) contiene vari exploit (Mpack) che scaricano un exe di 6k riconosciuto sempre come WORM Zhelatin.
Fino a dieci minuti fa il file sulla pagina linkata a hobby tennis si chiamava video.exe.Te lo posso dire con certezza perche' lo scaricato e verificato con virus total.Probabilmente codec.exe e' un diverso nome su una diversa pagina visto che sono sicuramente piu di una le pagine che imitano Youtube per ingannare chi le visita.
Edgar
Riverificato, in effetti sul link che avevo visitato io c'e' video.exe sul un altro link c'e' codec.exe.Per gli exploit confermo che ci sono anche sulla pagina che avevo visitato prima.
Comunque sul blog hobby-tennis i link si sprecano...
"http://65.31.137.62/">http://www.youtube.com/watch?
"http://65.75.121.213/">http://www.youtube.com/watch?
http://75.23.89.158/">http://www.youtube.com/watch
="http://66.69.23.62/">http://www.youtube?
http://69.210.135.182/">http://www.youtube.com/
"http://64.149.32.6/">http://www.youtube.com
http://24.63.67.43/">http://www.youtube.com/watch?v=8
Posta un commento