Che relazione ci sia tra il noto 'Istituto Nazionale Previdenza Sociale' (INPS) e ZLOB altrettanto noto malware , per chi si occupa di sicurezza informatica, e' presto detto; una ricerca con Google della sigla INPS ha portato a questo risultato
Una pagina, per certi versi simile ad un blog, con una falsa finestra di player video, e che riporta falsi messaggi, con date recenti, e postati da fantomatici lettori.
Come al solito possiamo visualizzare la pagina solo se gli script sono disabilitati, poiche' in caso contrario si viene subito reindirizzati alla pagina malware.
La particolarita dei messaggi visualizzati e' che, questa volta, non sembrano generati in maniera casuale
ma il testo effettivamente tratta di argomenti correlati, in questo caso, all'INPS. (si potrebbe trattare di testi copiati dal reale sito INPS)
Questo dimostra che il tentativo di ingannare chi visita il sito e' abbastanza curato nei dettagli rispetto a pagine simili che avevamo visto nei precedenti post.
La pagina in realta' e' parte di una grande quantita' di pagine web che possiamo vedere in questo parziale elenco (sono diverse centinaia solo per questo specifico indirizzo url ma vi sono decine di pagine simili a questa in rete).
Sia l'elenco che le varie pagine sono viste da un whois come locate su server USA anche se la tendenza ad utilizzare siti registrati su dominio .cn. come questo che vediamo ora, e' in aumento.
Una pagina, per certi versi simile ad un blog, con una falsa finestra di player video, e che riporta falsi messaggi, con date recenti, e postati da fantomatici lettori.Come al solito possiamo visualizzare la pagina solo se gli script sono disabilitati, poiche' in caso contrario si viene subito reindirizzati alla pagina malware.
La particolarita dei messaggi visualizzati e' che, questa volta, non sembrano generati in maniera casuale
ma il testo effettivamente tratta di argomenti correlati, in questo caso, all'INPS. (si potrebbe trattare di testi copiati dal reale sito INPS)Questo dimostra che il tentativo di ingannare chi visita il sito e' abbastanza curato nei dettagli rispetto a pagine simili che avevamo visto nei precedenti post.
La pagina in realta' e' parte di una grande quantita' di pagine web che possiamo vedere in questo parziale elenco (sono diverse centinaia solo per questo specifico indirizzo url ma vi sono decine di pagine simili a questa in rete).
Sia l'elenco che le varie pagine sono viste da un whois come locate su server USA anche se la tendenza ad utilizzare siti registrati su dominio .cn. come questo che vediamo ora, e' in aumento.
Come al solito, se gli script sul browser sono abilitati, noi non vedremo ne l'elenco ne il falso blog, ma direttamente verremo linkati su questa pagina http:// powermpeg. com /l/needflash/id/3913034/black/ che ci invita a scaricare un flash player aggiornato per visualizzare i contenuti del sito
se rifiutiamo di scaricare il falso flash player entriamo in un loop continuo di richiesta
La main page http://powermpeg.com se richiamata direttamente, come ormai succede spesso mostra un falso messaggio di account sospeso e questo per sviare eventuali ricerche di server attivi
Il falso player e' una variante dell'ormai noto malware ZLOB e non sono molti i software antivirus che lo rilevano
| File flash_player_3913034.exe received on 12.07.2007 04:55:51 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.12.7.0 | 2007.12.07 | - |
| AntiVir | 7.6.0.34 | 2007.12.06 | - |
| Authentium | 4.93.8 | 2007.12.06 | - |
| Avast | 4.7.1098.0 | 2007.12.06 | - |
| AVG | 7.5.0.503 | 2007.12.07 | Downloader.Generic6.YCR |
| BitDefender | 7.2 | 2007.12.07 | - |
| CAT-QuickHeal | 9.00 | 2007.12.06 | TrojanDownloader.Delf.cxh |
| ClamAV | 0.91.2 | 2007.12.07 | - |
| DrWeb | 4.44.0.09170 | 2007.12.06 | - |
| eSafe | 7.0.15.0 | 2007.12.06 | Suspicious File |
| eTrust-Vet | 31.3.5358 | 2007.12.07 | Win32/DefIE!downloader |
| Ewido | 4.0 | 2007.12.06 | - |
| FileAdvisor | 1 | 2007.12.07 | - |
| Fortinet | 3.14.0.0 | 2007.12.06 | - |
| F-Prot | 4.4.2.54 | 2007.12.06 | - |
| F-Secure | 6.70.13030.0 | 2007.12.07 | - |
| Ikarus | T3.1.1.12 | 2007.12.07 | Trojan-Downloader.Zlob.AAZR |
| Kaspersky | 7.0.0.125 | 2007.12.07 | Trojan-Downloader.Win32.Delf.dhe |
| McAfee | 5179 | 2007.12.06 | - |
| Microsoft | 1.3007 | 2007.12.07 | - |
| NOD32v2 | 2708 | 2007.12.07 | Win32/TrojanDownloader.Delf.DGW |
| Norman | 5.80.02 | 2007.12.06 | - |
| Panda | 9.0.0.4 | 2007.12.06 | Suspicious file |
| Prevx1 | V2 | 2007.12.07 | - |
| Rising | 20.21.32.00 | 2007.12.06 | Trojan.DL.Win32.Delf.cuu |
| Sophos | 4.24.0 | 2007.12.07 | - |
| Sunbelt | 2.2.907.0 | 2007.12.07 | - |
| Symantec | 10 | 2007.12.07 | Trojan.Zlob |
| TheHacker | 6.2.9.152 | 2007.12.07 | - |
| VBA32 | 3.12.2.5 | 2007.12.05 | suspected of Win32.Trojan.Downloader |
| VirusBuster | 4.3.26:9 | 2007.12.06 | Trojan.DL.Delf.AADO |
| Webwasher-Gateway | 6.6.2 | 2007.12.06 | - |
| Additional information | |||
| File size: 84504 bytes | |||
| MD5: c3f630fe0182855d8f3856f684e6dc9f | |||
| SHA1: 2716109a3863bbab6648bfb50e7945d9b760ba33 | |||
| PEiD: ASPack v2.12 | |||
| packers: Aspack | |||
| packers: ASPack | |||
Il whois della pagina punta a
che ricordiamo e' compreso nel range IP 85.255.112.0-85.255.127.255 appartenente a Inhoster Hosting Company Ucraina che pero' recentemente e' stato ridenominato come UkrTeleGroup Ltd
Stiamo quindi assistendo, come gia' detto piu' volte in passato, ad una massiccia predisposizione di pagine web fasulle che hanno solo lo scopo di indirizzare le nostre ricerche su siti pericolosi e sembra che la tendenza a predisporle anche con testi e links italiani sia sempre piu' diffusa.
Edgar
Stiamo quindi assistendo, come gia' detto piu' volte in passato, ad una massiccia predisposizione di pagine web fasulle che hanno solo lo scopo di indirizzare le nostre ricerche su siti pericolosi e sembra che la tendenza a predisporle anche con testi e links italiani sia sempre piu' diffusa.
Edgar
Nessun commento:
Posta un commento