venerdì 7 dicembre 2007

INPS e ZLOB

Che relazione ci sia tra il noto 'Istituto Nazionale Previdenza Sociale' (INPS) e ZLOB altrettanto noto malware , per chi si occupa di sicurezza informatica, e' presto detto; una ricerca con Google della sigla INPS ha portato a questo risultato

Una pagina, per certi versi simile ad un blog, con una falsa finestra di player video, e che riporta falsi messaggi, con date recenti, e postati da fantomatici lettori.

Come al solito possiamo visualizzare la pagina solo se gli script sono disabilitati, poiche' in caso contrario si viene subito reindirizzati alla pagina malware.

La particolarita dei messaggi visualizzati e' che, questa volta, non sembrano generati in maniera casuale

ma il testo effettivamente tratta di argomenti correlati, in questo caso, all'INPS. (si potrebbe trattare di testi copiati dal reale sito INPS)

Questo dimostra che il tentativo di ingannare chi visita il sito e' abbastanza curato nei dettagli rispetto a pagine simili che avevamo visto nei precedenti post.

La pagina in realta' e' parte di una grande quantita' di pagine web che possiamo vedere in questo parziale elenco (sono diverse centinaia solo per questo specifico indirizzo url ma vi sono decine di pagine simili a questa in rete).


Sia l'elenco che le varie pagine sono viste da un whois come locate su server USA anche se la tendenza ad utilizzare siti registrati su dominio .cn. come questo che vediamo ora, e' in aumento.

Come al solito, se gli script sul browser sono abilitati, noi non vedremo ne l'elenco ne il falso blog, ma direttamente verremo linkati su questa pagina http:// powermpeg. com /l/needflash/id/3913034/black/ che ci invita a scaricare un flash player aggiornato per visualizzare i contenuti del sito


se rifiutiamo di scaricare il falso flash player entriamo in un loop continuo di richiesta
La main page http://powermpeg.com se richiamata direttamente, come ormai succede spesso mostra un falso messaggio di account sospeso e questo per sviare eventuali ricerche di server attivi


Il falso player e' una variante dell'ormai noto malware ZLOB e non sono molti i software antivirus che lo rilevano

File flash_player_3913034.exe received on 12.07.2007 04:55:51 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.7.02007.12.07-
AntiVir7.6.0.342007.12.06-
Authentium4.93.82007.12.06-
Avast4.7.1098.02007.12.06-
AVG7.5.0.5032007.12.07Downloader.Generic6.YCR
BitDefender7.22007.12.07-
CAT-QuickHeal9.002007.12.06TrojanDownloader.Delf.cxh
ClamAV0.91.22007.12.07-
DrWeb4.44.0.091702007.12.06-
eSafe7.0.15.02007.12.06Suspicious File
eTrust-Vet31.3.53582007.12.07Win32/DefIE!downloader
Ewido4.02007.12.06-
FileAdvisor12007.12.07-
Fortinet3.14.0.02007.12.06-
F-Prot4.4.2.542007.12.06-
F-Secure6.70.13030.02007.12.07-
IkarusT3.1.1.122007.12.07Trojan-Downloader.Zlob.AAZR
Kaspersky7.0.0.1252007.12.07Trojan-Downloader.Win32.Delf.dhe
McAfee51792007.12.06-
Microsoft1.30072007.12.07-
NOD32v227082007.12.07Win32/TrojanDownloader.Delf.DGW
Norman5.80.022007.12.06-
Panda9.0.0.42007.12.06Suspicious file
Prevx1V22007.12.07-
Rising20.21.32.002007.12.06Trojan.DL.Win32.Delf.cuu
Sophos4.24.02007.12.07-
Sunbelt2.2.907.02007.12.07-
Symantec102007.12.07Trojan.Zlob
TheHacker6.2.9.1522007.12.07-
VBA323.12.2.52007.12.05suspected of Win32.Trojan.Downloader
VirusBuster4.3.26:92007.12.06Trojan.DL.Delf.AADO
Webwasher-Gateway6.6.22007.12.06-

Additional information
File size: 84504 bytes
MD5: c3f630fe0182855d8f3856f684e6dc9f
SHA1: 2716109a3863bbab6648bfb50e7945d9b760ba33
PEiD: ASPack v2.12
packers: Aspack
packers: ASPack

Il whois della pagina punta a


che ricordiamo e' compreso nel range IP 85.255.112.0-85.255.127.255 appartenente a Inhoster Hosting Company Ucraina che pero' recentemente e' stato ridenominato come UkrTeleGroup Ltd

Stiamo quindi assistendo, come gia' detto piu' volte in passato, ad una massiccia predisposizione di pagine web fasulle che hanno solo lo scopo di indirizzare le nostre ricerche su siti pericolosi e sembra che la tendenza a predisporle anche con testi e links italiani sia sempre piu' diffusa.

Edgar

Nessun commento: