mercoledì 5 dicembre 2007

Brevi aggiornamenti su falsi codec, false applicazioni antimalware e ricerche in rete.

Falsi codec:
Sembra in aumento la diffusione in rete di falsi codec video e plugin al fine di diffondere malware.
La tendenza attuale e' ormai quella di predisporre malware creato appositamente per il sitema operativo del computer che viene utilizzato per visitare il sito contenente codici pericolosi.

Attraverso l'uso dell'user agent id del browser e' possibile far scaricare a chi visita la pagina del falso codec es. la versione del malware creata appositamente per il MAC .

Una delle ultime segnalazioni in ordine di tempo riguarda codectime.com che ospita attualmente codec sia per SO Windows che per Mac

Il layout della pagina e' ormai cosi tanto utilizzato in rete che basterebbe solo quello per dire che si tratta di falso codec video, ma nonstante tutto ( o fortunantamente) chi crea malware continua ad utilizzarlo.



Il malware nella versione MAC e'

File codectime1000_2_.exe received on 11.21.2007 05:58:15 (CET)
AntivirusVersionLast UpdateResult
Ikarus--Trojan.Mac.Dnscha.dmg
Sophos--OSX/RSPlug-Gen

Additional information
MD5: a3874e7ee4aad1a50882feaf5bd0215e

Una interessante caratteristica di alcuni di questi siti che ospitano malware e' la tendenza a mostrare, se si richiama direttamente la homepage, un falso messaggio di Account Sospeso per sviare chi tenta di rilevare se il sito e' attivo e distribuisce files con codice pericoloso.


False applicazioni antimalware:
Aumentano di numero ogni giorno i siti che distribuiscono questo tipo di software.

Abbiamo tra le ultime novita'

Malware Monitor


con host in Ucraina

Si tratta dello stesso range IP 85.255.112.0-85.255.127.255 appartenente a Inhoster Hosting Company Ucraina che pero' recentemente e' stato ridenominato come UkrTeleGroup Ltd


Dr.Protection


Con whois che punta a server in Hong Kong

Raptor Defender


di cui vediamo un report eseguito da Virus Total


Quello che si puo' notare e che essendo questi falsi antimalware continuamente aggiornati a nuove versioni il contenuto pericoloso di solito viene riconosciuto da pochi software antivirus.


Ricerche in rete.
Sembra che anche in questo caso ci sia la tendenza all'aumento di false pagine web costruite apposta per cercare di comparire ai primi posti nei risultati dei motori di ricerca e da li' reindirizzare su siti pericolosi.

Una delle ultime novita' riguarda l'uso di javascript per evitare che queste pagine possano essere trovate attraverso una ricerca Google con l'uso di operatori quali site: inurl: ecc...

Interessante e' vedere come questa pagina se richiamata mostri il seguente messaggio


ma contenga al suo interno un file javascript offuscato


che se deoffuscato ci mostra il seguente codice


nel quale si nota la presenza di istruzioni che cercano di riconoscere se si giunge su questo sito da pagina di ricerca Google utilizzando gli operatori avanzati di ricerca (informazioni presenti nella stringa di referer della pagina che accede al sito).

Edgar

4 commenti:

Sbronzo di Riace ha detto...

Ci sono degli imbecilli che postano su it.comp.sicurezza.virus dei link a siti contenenti malware

Edgar Bangkok ha detto...

Visto...
Credo si tratti di qualche idiota isolato che pensa di essere furbo a postare pagine con allegato script malware
Visto che su it.comp.sicurezza.virus scrive anche gente molto competente in materia malware penso che questi cretini che linkano pagine malware possano fare poco danno.
In ogni caso sarebbe interessante vedere se c'e' il modo di cancellare i post in questione dall'elenco che viene visualizzato.

Edgar

Sbronzo di Riace ha detto...

a quelli competenti no, ma quel tipo di newsgroup vengono letti anche da molte persone in cerca di aiuto perché hanno il pc infetto e rischiano di essere vittime due volte.
Per la cancellazione credo si possa fare poco, i messaggi ormai si trovano su decine di server delle news e di webnews

Edgar Bangkok ha detto...

Penso anche io che forse a questo punto sia impossibile cancellare i post incriminati. La cosa che si puo fare e' dare massima pubblicta' a quanto e' successo sperando che questo serva a mettere sull'avviso anche chi legge i post in cerca di consigli su come eliminare malware dal pc.