Nel precedente post Un Comune poco comune... avevamo visto come l'utilizzo di forum male o assolutamente non gestiti, in particolare, nell'ambito di siti istituzionali (Comuni, Provincie, Regioni o Enti Pubblici ) possa venire sfruttato da malintenzionati per usarli come elenchi online a pagine, per lo piu' con contenuti porno, create apposta per distribuire malware o links a malware.
Nonostante il problema sia conosciuto, sembra che chi gestisce i siti di Enti Pubblici non si interessi minimamente delle pagine relative ai forum con il risultato che attualmente ci sono forum aggiornati quotidianamente con links malware e ne escono continuamente dei nuovi.
Questa volta ne vediamo uno che presenta un campionario di links a siti con malware, che spazia dai falsi codec video fino a pericolosi files camuffati da setup il cui contenuto viene difficilmente riconosciuto dai softwares antivirus in circolazione.
SI tratta del sito del Comune di xyz che da quanto si vede sulla home non sembrerebbe molto aggiornato.
In compenso il forum e' veramente aggiornato come vediamo dalle date degli ultimi post
Questa e' una tipica pagina di indice dei posts (le date sono attuali)
Il forum permette di allegare immagini con link, nel testo del messaggio e di questa possibilita se ne approfitta in quasi tutti i post:
altro esempio:
Si tratta di link che puntano a pagine con falsi codec da scaricare per poter vedere il filmato oppure links a siti come quello che vediamo qui sotto che imita fedelmente il layout di Youtube ma con contenuti porno.
Questo sito e' abbastanza pericoloso in quanto il programma setup.exe che viene fatto scaricare viene riconosciuto come malware da pochi softwares antivirus
Nonostante il problema sia conosciuto, sembra che chi gestisce i siti di Enti Pubblici non si interessi minimamente delle pagine relative ai forum con il risultato che attualmente ci sono forum aggiornati quotidianamente con links malware e ne escono continuamente dei nuovi.
Questa volta ne vediamo uno che presenta un campionario di links a siti con malware, che spazia dai falsi codec video fino a pericolosi files camuffati da setup il cui contenuto viene difficilmente riconosciuto dai softwares antivirus in circolazione.
SI tratta del sito del Comune di xyz che da quanto si vede sulla home non sembrerebbe molto aggiornato.
In compenso il forum e' veramente aggiornato come vediamo dalle date degli ultimi post
Questa e' una tipica pagina di indice dei posts (le date sono attuali)
Il forum permette di allegare immagini con link, nel testo del messaggio e di questa possibilita se ne approfitta in quasi tutti i post:
altro esempio:
Si tratta di link che puntano a pagine con falsi codec da scaricare per poter vedere il filmato oppure links a siti come quello che vediamo qui sotto che imita fedelmente il layout di Youtube ma con contenuti porno.
Questo sito e' abbastanza pericoloso in quanto il programma setup.exe che viene fatto scaricare viene riconosciuto come malware da pochi softwares antivirus| File setup.exe received on 12.30.2007 12:55:10 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.12.29.11 | 2007.12.29 | - |
| AntiVir | 7.6.0.46 | 2007.12.29 | - |
| Authentium | 4.93.8 | 2007.12.29 | - |
| Avast | 4.7.1098.0 | 2007.12.29 | Win32:Zlob-AHS |
| AVG | 7.5.0.516 | 2007.12.29 | - |
| BitDefender | 7.2 | 2007.12.30 | - |
| CAT-QuickHeal | 9.00 | 2007.12.29 | - |
| ClamAV | 0.91.2 | 2007.12.30 | Trojan.Dropper-2529 |
| DrWeb | 4.44.0.09170 | 2007.12.30 | Trojan.Popuper.origin |
| eSafe | 7.0.15.0 | 2007.12.27 | - |
| eTrust-Vet | 31.3.5412 | 2007.12.29 | - |
| Ewido | 4.0 | 2007.12.29 | - |
| FileAdvisor | 1 | 2007.12.30 | - |
| Fortinet | 3.14.0.0 | 2007.12.30 | - |
| F-Prot | 4.4.2.54 | 2007.12.29 | - |
| F-Secure | 6.70.13030.0 | 2007.12.30 | - |
| Ikarus | T3.1.1.15 | 2007.12.30 | - |
| Kaspersky | 7.0.0.125 | 2007.12.30 | - |
| McAfee | 5195 | 2007.12.28 | - |
| Microsoft | 1.3109 | 2007.12.30 | TrojDown:Win32/Zlob.gen!AL |
| NOD32v2 | 2755 | 2007.12.29 | - |
| Norman | 5.80.02 | 2007.12.28 | - |
| Panda | 9.0.0.4 | 2007.12.30 | - |
| Prevx1 | V2 | 2007.12.30 | - |
| Rising | 20.24.52.00 | 2007.12.29 | - |
| Sophos | 4.24.0 | 2007.12.30 | - |
| Sunbelt | 2.2.907.0 | 2007.12.30 | - |
| Symantec | 10 | 2007.12.30 | - |
| TheHacker | 6.2.9.175 | 2007.12.29 | - |
| VBA32 | 3.12.2.5 | 2007.12.29 | - |
| VirusBuster | 4.3.26:9 | 2007.12.29 | - |
| Webwasher-Gateway | 6.6.2 | 2007.12.29 | - |
| Additional information | |||
| File size: 80114 bytes | |||
| MD5: 4a018ac32aabf15af5c03cc1ab9bceff | |||
| SHA1: 6a82c620c39f0f481d5f63fcb59a59aa66bfac8f | |||
| PEiD: - | |||
Come si vede la percentuale di positivi e veramente molto bassa.
L'elenco degli utenti al forum e' continuamente aggiornato da nuove iscrizioni generate probabilmente da qualche sistema automatico che consente di scaricare sullo stesso migliaia di links in brevissimo tempo.
Edgar
Nessun commento:
Posta un commento