giovedì 27 dicembre 2007

False pagine natalizie su Blogger

Ultimamente anche Blogger e' sempre piu' colpito da diversi tipi di pagine che definisco 'spazzatura'

Si va da quelle che linkano parti del testo di altri blogs (e' gia' capitato 2 volte anche a questo blog), solo per cercare di avere piu' contatti da una ricerca Google, sino a pagine che contengono malware o links a malware.

Facendo un po di ricerche su Blogger si puo trovare un notevole numero di blogs il cui solo scopo e' quello di tentare di far scaricare falsi player o codec video che in realta' sono pericolosi codici malware e visto che siamo in periodo di festivita' natalizie evidentemente viene sfruttato l'interesse di chi naviga in internet per tutto quello che e' collegato al Natale.

Alcuni esempi:
Blog EMAIL SANTA

Dove abbiamo un falso player video, in realta' una semplice immagine JPG con link.

Questa pagina blog contiene a sua volta numerosi links ad altre pagine blogger con simili contenuti

Esaminiamo la modalita' di attacco:

Se si clicca sul falso player ( immagine jpg ) si viene reindirizzati su una pagina contenente un player fasullo che ci propone di scaricare il codec necessario alla visualizzazione del filmato e che comunque attiva, in automatico, il download del file eseguibile VideoAccessCodecInstall.exe contenente il malware.

Questa pagina ad un whois risulta hostata su server locato in Malesia

Esaminato con Virus Total il file VideoAccessCodecInstall.exe abbiamo risultati veramente sconcertanti .... Verrebbe quasi da pensare che si tratti di un file pulito esente da problemi.
Tra l'altro alcuni dei software che riconoscono la presenza del malware lo definiscono solo come file sospetto.
Ecco il report di VT:

File VideoAccessCodecInstall.exe received on 12.27.2007 02:43:24 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.27.102007.12.26-
AntiVir7.6.0.462007.12.26-
Authentium4.93.82007.12.26-
Avast4.7.1098.02007.12.26-
AVG7.5.0.5162007.12.26-
BitDefender7.22007.12.27-
CAT-QuickHeal9.002007.12.26(Suspicious) - DNAScan
ClamAV0.91.22007.12.26-
DrWeb4.44.0.091702007.12.26-
eSafe7.0.15.02007.12.26Suspicious File
eTrust-Vet31.3.54052007.12.26-
Ewido4.02007.12.26-
FileAdvisor12007.12.27-
Fortinet3.14.0.02007.12.27-
F-Prot4.4.2.542007.12.26-
F-Secure6.70.13030.02007.12.27-
IkarusT3.1.1.152007.12.27-
Kaspersky7.0.0.1252007.12.27-
McAfee51932007.12.26-
Microsoft1.31092007.12.27TrojanDropper:Win32/Nuwar.gen!lds
NOD32v227482007.12.27-
Norman5.80.022007.12.26-
Panda9.0.0.42007.12.26-
Prevx1V22007.12.27-
Rising20.24.21.002007.12.26-
Sophos4.24.02007.12.26-
Sunbelt2.2.907.02007.12.27-
Symantec102007.12.27-
TheHacker6.2.9.1702007.12.26-
VBA323.12.2.52007.12.26MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster4.3.26:92007.12.26-
Webwasher-Gateway6.6.22007.12.27Worm.Win32.Malware.gen!80 (suspicious)

Additional information
File size: 101392 bytes
MD5: 92a4a13fc99f010753ec10887a41f7df
SHA1: 13361bcb361bd1531d220666e12e4433beed73b1
PEiD: -

Probabilmente si tratta di una nuova variante che al momento risulta sconosciuta alla maggior parte dei motori di ricerca malware, almeno basandosi sulle firme digitali dei virus.

Il file malware viene scaricato da un server locato in Danimarca


Simili contenuti li troviamo su una grande quantita di pagine Blogger come vediamo ad esempio nel blog Myspace Christmas Graphics


I blogs a tema natalizio con incluso links a falso player sono veramente numerosi.




Non si usano comunque solo la festivita' natalizie come oggetto di blogs malware ma anche molti altri argomenti.... Si va dalle ricette di cucina a filmati hard di celebrita' ....


In questo caso i links sono diversi ma il file malware viene sempre scaricato dal server in Danimarca.

Come succede sempre piu' spesso, si cerca quindi di sfruttare spazi resi disponibili liberamente sulla rete per utilizzarli al fine di distribuire malware sotto forma di pagine blog fasulle oppure sfruttando vulnerabilita' presenti nel software di gestione di blogs o social networks (vedi ad esempio i recenti casi di Orkut Google o di Myspace ) e questa tendenza sta aumentando costantemente.

La pericolosita' di questa pratica e' ancor piu' evidente se si pensa che ci troviamo di fronte a pagine costantemente aggiornate sia come argomenti trattati ma ancor di piu' come contenuti malevoli che sembrano sempre di piu non essere rilevati in tempi rapidi dai softwares antivirus in commercio.

Edgar

5 commenti:

Sbronzo di Riace ha detto...

che ne pensi di arcade.exe, è pulito?

http://www.italiasw.com/giochi-arcade-arcade-
classic-pack/

copia ed incolla il link

Edgar Bangkok ha detto...

Ho verificato l'exe con la sandbox di norman e con anubis e in tutti e due i casi non ha generato files o task sospetti.
Puo essere che questa versione sia pulita, la versione precedente ad alcuni antivirus risulatva positiva. Probabilmente se c'e' qualcosa dentro si tratta di spyware, non credo di codici piu' pericolosi. Con VTotal tranne prevx sembra ok e non credo che siamo al punto che nessun antivirus se ci fosse qualcosa non lo evidenzi...
Anche nel peggiore dei casi, vedi esempio il mio ultimo post, almeno 3 o 4 AV dicevano che qualcosa non andava....

Saluti

Sbronzo di Riace ha detto...

Infatti in passato questo pack di giochi conteneva nsis media, un adware, per questo quando l'ho visto mi sono subito insospettito.

Proveniva da openwares.org ed anche allora pochi antivirus lo riconoscevano. Il pack era stato inserito nel cd di una rivista .

Quelli di italia sw, mi hanno rassicurato dicendo che quella versione che hanno recensito è esente da malware. Esistono comunque in giro versioni di quel pack che contengono malware.

Esempio
http://www.dslreports.com/forum/
r19055545-Arcade-Classic-Arcade-Pack-50

maverick ha detto...

analisi perfetta.

Quella era una nuova variante.
L'ho mandata a molte societa' antivirus.
Ma tanto è inutile.... questi non li freghi.

Mister6339 ha detto...

come sempre un ottimo lavoro, complimenti.