domenica 13 gennaio 2008

Rogue antimalvare software, siti e Dirbuster

Esaminiamo un semplice utilizzo di Dirbuster per ricercare links a siti contenenti rogue application antimalware ed anche file malware.

Nel post precedente abbiamo visto che spesso i siti che ospitano link a falso software antimalware contengono anche files pericolosi e non solo false applicazioni antivirus o anti spyware.

Esaminando il link del post precedente onlysecuretools.com si puo' notare che attraverso un reverse IP otteniamo anche questo nuovo link scanner.malwarealarms.com

Caricando questo link si nota la presenza di una chiave numerica presente nella l'url che viene utilizzata per referenziare diverse pagine sullo stesso dominio hxxp://scanner.malwarealarm.com/key number e caricare in maniera casuale uno dei siti hostati sul server.

Questo vuole dire che al cambiamento della chiave numerica corrispondera' un diverso folder e sito

Per ottenere la lista dei siti si puo' utilizzare Dirbuster.
Si tratta di un ottimo programma scritto in java che permette di automatizzare una serie di operazioni di ricerca di folders o files anche nascosti presenti su un server

Basta creare un file txt contenente i nomi senza estensione del folder o dei files che si vuole cercare e Dirbuster pensera' ad interrogare il server per ottenere una lista dei possibili folders o files presenti.


Come vediamo sono stati trovati diversi folder


Questo e' il report generato dove si vede che alcuni links ai folder risultano direttamente raggiungibili ed altri con codice 302 sono invece dei reindirizzamenti su altra url.



In ogni caso ecco una riassunto visuale delle pagine (siti) trovate su scanner.malwarealarms.com


Si tratta di pagine che scaricano sul computer falsi programmi antimalware ed anche, in molti casi, veri e propri file malevoli con contenuti diversi (worm, trojan dowloader ecc...)

Edgar

Nessun commento: