Ultimamente anche Blogger e' sempre piu' colpito da diversi tipi di pagine che definisco 'spazzatura'
Si va da quelle che linkano parti del testo di altri blogs (e' gia' capitato 2 volte anche a questo blog), solo per cercare di avere piu' contatti da una ricerca Google, sino a pagine che contengono malware o links a malware.
Facendo un po di ricerche su Blogger si puo trovare un notevole numero di blogs il cui solo scopo e' quello di tentare di far scaricare falsi player o codec video che in realta' sono pericolosi codici malware e visto che siamo in periodo di festivita' natalizie evidentemente viene sfruttato l'interesse di chi naviga in internet per tutto quello che e' collegato al Natale.
Alcuni esempi:
Blog EMAIL SANTA
Dove abbiamo un falso player video, in realta' una semplice immagine JPG con link.
Questa pagina blog contiene a sua volta numerosi links ad altre pagine blogger con simili contenuti
Esaminiamo la modalita' di attacco:
Questa pagina ad un whois risulta hostata su server locato in Malesia
Esaminato con Virus Total il file VideoAccessCodecInstall.exe abbiamo risultati veramente sconcertanti .... Verrebbe quasi da pensare che si tratti di un file pulito esente da problemi.
Tra l'altro alcuni dei software che riconoscono la presenza del malware lo definiscono solo come file sospetto.
Ecco il report di VT:
Si va da quelle che linkano parti del testo di altri blogs (e' gia' capitato 2 volte anche a questo blog), solo per cercare di avere piu' contatti da una ricerca Google, sino a pagine che contengono malware o links a malware.
Facendo un po di ricerche su Blogger si puo trovare un notevole numero di blogs il cui solo scopo e' quello di tentare di far scaricare falsi player o codec video che in realta' sono pericolosi codici malware e visto che siamo in periodo di festivita' natalizie evidentemente viene sfruttato l'interesse di chi naviga in internet per tutto quello che e' collegato al Natale.
Alcuni esempi:
Blog EMAIL SANTA
Dove abbiamo un falso player video, in realta' una semplice immagine JPG con link.Questa pagina blog contiene a sua volta numerosi links ad altre pagine blogger con simili contenuti
Esaminiamo la modalita' di attacco:Se si clicca sul falso player ( immagine jpg ) si viene reindirizzati su una pagina contenente un player fasullo che ci propone di scaricare il codec necessario alla visualizzazione del filmato e che comunque attiva, in automatico, il download del file eseguibile VideoAccessCodecInstall.exe contenente il malware.
Questa pagina ad un whois risulta hostata su server locato in Malesia
Esaminato con Virus Total il file VideoAccessCodecInstall.exe abbiamo risultati veramente sconcertanti .... Verrebbe quasi da pensare che si tratti di un file pulito esente da problemi.Tra l'altro alcuni dei software che riconoscono la presenza del malware lo definiscono solo come file sospetto.
Ecco il report di VT:
| File VideoAccessCodecInstall.exe received on 12.27.2007 02:43:24 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.12.27.10 | 2007.12.26 | - |
| AntiVir | 7.6.0.46 | 2007.12.26 | - |
| Authentium | 4.93.8 | 2007.12.26 | - |
| Avast | 4.7.1098.0 | 2007.12.26 | - |
| AVG | 7.5.0.516 | 2007.12.26 | - |
| BitDefender | 7.2 | 2007.12.27 | - |
| CAT-QuickHeal | 9.00 | 2007.12.26 | (Suspicious) - DNAScan |
| ClamAV | 0.91.2 | 2007.12.26 | - |
| DrWeb | 4.44.0.09170 | 2007.12.26 | - |
| eSafe | 7.0.15.0 | 2007.12.26 | Suspicious File |
| eTrust-Vet | 31.3.5405 | 2007.12.26 | - |
| Ewido | 4.0 | 2007.12.26 | - |
| FileAdvisor | 1 | 2007.12.27 | - |
| Fortinet | 3.14.0.0 | 2007.12.27 | - |
| F-Prot | 4.4.2.54 | 2007.12.26 | - |
| F-Secure | 6.70.13030.0 | 2007.12.27 | - |
| Ikarus | T3.1.1.15 | 2007.12.27 | - |
| Kaspersky | 7.0.0.125 | 2007.12.27 | - |
| McAfee | 5193 | 2007.12.26 | - |
| Microsoft | 1.3109 | 2007.12.27 | TrojanDropper:Win32/Nuwar.gen!lds |
| NOD32v2 | 2748 | 2007.12.27 | - |
| Norman | 5.80.02 | 2007.12.26 | - |
| Panda | 9.0.0.4 | 2007.12.26 | - |
| Prevx1 | V2 | 2007.12.27 | - |
| Rising | 20.24.21.00 | 2007.12.26 | - |
| Sophos | 4.24.0 | 2007.12.26 | - |
| Sunbelt | 2.2.907.0 | 2007.12.27 | - |
| Symantec | 10 | 2007.12.27 | - |
| TheHacker | 6.2.9.170 | 2007.12.26 | - |
| VBA32 | 3.12.2.5 | 2007.12.26 | MalwareScope.Worm.Nuwar-Glowa.1 |
| VirusBuster | 4.3.26:9 | 2007.12.26 | - |
| Webwasher-Gateway | 6.6.2 | 2007.12.27 | Worm.Win32.Malware.gen!80 (suspicious) |
| Additional information | |||
| File size: 101392 bytes | |||
| MD5: 92a4a13fc99f010753ec10887a41f7df | |||
| SHA1: 13361bcb361bd1531d220666e12e4433beed73b1 | |||
| PEiD: - | |||
Probabilmente si tratta di una nuova variante che al momento risulta sconosciuta alla maggior parte dei motori di ricerca malware, almeno basandosi sulle firme digitali dei virus.
Il file malware viene scaricato da un server locato in Danimarca
Simili contenuti li troviamo su una grande quantita di pagine Blogger come vediamo ad esempio nel blog Myspace Christmas Graphics
I blogs a tema natalizio con incluso links a falso player sono veramente numerosi.
Non si usano comunque solo la festivita' natalizie come oggetto di blogs malware ma anche molti altri argomenti.... Si va dalle ricette di cucina a filmati hard di celebrita' ....
In questo caso i links sono diversi ma il file malware viene sempre scaricato dal server in Danimarca.
Come succede sempre piu' spesso, si cerca quindi di sfruttare spazi resi disponibili liberamente sulla rete per utilizzarli al fine di distribuire malware sotto forma di pagine blog fasulle oppure sfruttando vulnerabilita' presenti nel software di gestione di blogs o social networks (vedi ad esempio i recenti casi di Orkut Google o di Myspace ) e questa tendenza sta aumentando costantemente.
La pericolosita' di questa pratica e' ancor piu' evidente se si pensa che ci troviamo di fronte a pagine costantemente aggiornate sia come argomenti trattati ma ancor di piu' come contenuti malevoli che sembrano sempre di piu non essere rilevati in tempi rapidi dai softwares antivirus in commercio.
Edgar
5 commenti:
che ne pensi di arcade.exe, è pulito?
http://www.italiasw.com/giochi-arcade-arcade-
classic-pack/
copia ed incolla il link
Ho verificato l'exe con la sandbox di norman e con anubis e in tutti e due i casi non ha generato files o task sospetti.
Puo essere che questa versione sia pulita, la versione precedente ad alcuni antivirus risulatva positiva. Probabilmente se c'e' qualcosa dentro si tratta di spyware, non credo di codici piu' pericolosi. Con VTotal tranne prevx sembra ok e non credo che siamo al punto che nessun antivirus se ci fosse qualcosa non lo evidenzi...
Anche nel peggiore dei casi, vedi esempio il mio ultimo post, almeno 3 o 4 AV dicevano che qualcosa non andava....
Saluti
Infatti in passato questo pack di giochi conteneva nsis media, un adware, per questo quando l'ho visto mi sono subito insospettito.
Proveniva da openwares.org ed anche allora pochi antivirus lo riconoscevano. Il pack era stato inserito nel cd di una rivista .
Quelli di italia sw, mi hanno rassicurato dicendo che quella versione che hanno recensito è esente da malware. Esistono comunque in giro versioni di quel pack che contengono malware.
Esempio
http://www.dslreports.com/forum/
r19055545-Arcade-Classic-Arcade-Pack-50
analisi perfetta.
Quella era una nuova variante.
L'ho mandata a molte societa' antivirus.
Ma tanto è inutile.... questi non li freghi.
come sempre un ottimo lavoro, complimenti.
Posta un commento