Come gia' visto piu volte, esistono in rete centinaia , se non migliaia di falsi siti, che tentano di ingannare chi esegue ricerche in Internet comparendo ai primi posti nei risultati dei motori di ricerca.
Il numero di queste pagine e' aumentato notevolmente in questi ultimi mesi e la tendenza sembra quella di un costante incremento.
Una ricerca fatta con Google con chiave blogoramma site:ru ci fa scoprire un nuovo gruppo di siti costituito sicuramente da centinaia se non migliaia di pagine. (piu' di 3000 i risultati su Google)
ed a riprova di questo qualunque parola vi venga in mente di aggiungere a questa stringa di ricerca, es. '' blogoramma site:ru banca " avrete centinaia di risultati validi
e questo vale per qualunque parola italiana cerchiate.
Il whois dei siti Blogoramma sembra variare a seconda del dominio sul quale sono hostati; abbiamo ad esempio Russia per la pagina che vedete nella prima videata
e USA per la seconda delle banche.
Tutte queste pagine contengono javascript offuscato su piu' livelli
Si passa da questo codice offuscato
a quest'altro
e dal quale si ottiene
Fine ultimo e' linkare a server contenente malware
Uno dei risultati possibili e' ad esempio il download sul pc di exploit (es figcsmqc.qt) come vediamo in questo esempio:
Questo e' il contenuto del file qt
che con Virus Total
Pare che di pagine con il logo Blogoramma ne siano attive al momento veramente molte , probabilmente si raggiunge il migliaio.
Per finire, questa invece e' una pagina, sempre in italiano
appartenente ad uno dei tanti gruppi di domini hostati in Russia che ospitano pagine del tipo che abbiamo visto ora (noto range ip POCHTA_RU-NET Russia )
Questo sistema, come si vede zoomando nella pagina , genera dei risultati di testo a volte veramente comici, ma ricordiamoci sempre che si tratta di siti creati appositamente per diffondere malware o linkare a siti di dubbia attendibilita'
Come sempre se volete fare ricerche in rete al riguardo di queste pagine utilizzate le dovute precauzioni ( come minimo disabilitate gli script java o con Firefox usate l'addon Noscript) in quanto si tratta di pagine che contengono o linkano a codici pericolosi, molte volte aggiornati in tempo reale, e quindi spesso non identificati dagli antivirus.
Edgar
Il numero di queste pagine e' aumentato notevolmente in questi ultimi mesi e la tendenza sembra quella di un costante incremento.
Una ricerca fatta con Google con chiave blogoramma site:ru ci fa scoprire un nuovo gruppo di siti costituito sicuramente da centinaia se non migliaia di pagine. (piu' di 3000 i risultati su Google)
ed a riprova di questo qualunque parola vi venga in mente di aggiungere a questa stringa di ricerca, es. '' blogoramma site:ru banca " avrete centinaia di risultati validi
e questo vale per qualunque parola italiana cerchiate.Il whois dei siti Blogoramma sembra variare a seconda del dominio sul quale sono hostati; abbiamo ad esempio Russia per la pagina che vedete nella prima videata
e USA per la seconda delle banche.Tutte queste pagine contengono javascript offuscato su piu' livelli
Si passa da questo codice offuscato
a quest'altro
e dal quale si ottiene
Fine ultimo e' linkare a server contenente malware
Uno dei risultati possibili e' ad esempio il download sul pc di exploit (es figcsmqc.qt) come vediamo in questo esempio:
Questo e' il contenuto del file qt
che con Virus Total
| File figcsmqc.qt received on 12.12.2007 08:36:16 (CET) | |||
| Antivirus | Version | Last Update | Result |
| McAfee | 5183 | 2007.12.11 | Exploit-QTChrome |
| Symantec | 10 | 2007.12.12 | Bloodhound.Exploit.161 |
| Webwasher-Gateway | 6.6.2 | 2007.12.11 | QuickTime.PrivEscalation.gen (suspicious) |
| Additional information | |||
| File size: 1903 bytes | |||
| MD5: 6e8dc3eac062a99517008506b59c32f5 | |||
| SHA1: 63429525b08ae1718ba6bda12f96585ebc55f27a | |||
| PEiD: - | |||
Pare che di pagine con il logo Blogoramma ne siano attive al momento veramente molte , probabilmente si raggiunge il migliaio.
Per finire, questa invece e' una pagina, sempre in italiano
appartenente ad uno dei tanti gruppi di domini hostati in Russia che ospitano pagine del tipo che abbiamo visto ora (noto range ip POCHTA_RU-NET Russia )
Questo sistema, come si vede zoomando nella pagina , genera dei risultati di testo a volte veramente comici, ma ricordiamoci sempre che si tratta di siti creati appositamente per diffondere malware o linkare a siti di dubbia attendibilita'
Come sempre se volete fare ricerche in rete al riguardo di queste pagine utilizzate le dovute precauzioni ( come minimo disabilitate gli script java o con Firefox usate l'addon Noscript) in quanto si tratta di pagine che contengono o linkano a codici pericolosi, molte volte aggiornati in tempo reale, e quindi spesso non identificati dagli antivirus.
Edgar
Nessun commento:
Posta un commento