mercoledì 30 luglio 2008

False pagine di avviso Google con links a falsi antivirus

Su www.matchent.com/wpress blog (al momento offline) viene riportata la presenza in rete di una pagina che simula un falso avviso Google riferito ad una possibile malware sul nostro computer.

Diamo una occhiata un poco piu approfondita a quello che ci propone la falsa pagina
.
In realta', si scopre subito che non si tratta di una sola pagina che riporta un layout simie ad un avviso Google ma di decine.

Qui vediamo un folder che

a sua volta ospita una decina di subfolder


ognuno dei quali contiene un certo numero di pagine web che presentano il falso avviso

Sembra che la differenza esistente tra le varie pagine a seconda del folder che le contiene sia il diverso contenuto di link al loro interno, che comunque non vengono visualizzati in quanto il 'font style ' del testo e' impostato in maniera tale da renderlo invisibile


Eliminando parte del codice sulla pagina web la possiamo infatti visualizzarne interamente il contenuto.

A questo punto se cklicchiamo su uno dei collegamenti presenti viene eseguito un script java

che utilizza il referrer della pagina di provenienza


Come si vede l'url che risulta linka ad un server che ospita un falso antivirus e questa url seleziona il 'modello' del falso software attraverso la presenza di un codice che, ad esempio, nel caso di product = XPA porta al caricamento del noto AV2009

mentre con product = XPC abbiamo il caricamento di una pagina di falso scanner per la ricerca di possibili contenuti 'illegali' sul nostro pc.


La pagina del falso scanner che e' disponibile anche con differente layout


Il file eseguibile scaricato da sito e' in realta'

e tra l'altro anche non molto riconosciuto dai software Av (circa il 50%)

Come curiosita' si puo notare che se si accede al dominio che fa parte della url che carica i falsi antivirus abbiamo visualizzata questa pagina

dove il link refs.txt punta ad un elenco in formato txt di centiania di urls , forse generate in automatico leggendo i referrers di chi si connette al sito.

L'accesso invece al dominio presente nello script iniziale punta a questo 'particolare' sito dove sono presenti una notevole quantita' di link alfabetici che in cascata linkano a pagine che ospitano parte di codice Youtube con riferimenti all'argomento del link.

Chiaramente cliaccando i link presenti sui video si riceve un errore di pagina non trovata.
In pratica ci troviamo di fronte a codice di pagine Youtbe copiato ed inserito in numerose pagine fittizie probabilmente utilizzate attraverso l'uso di falsi links.

Come si vede continua in rete la presenza sia di pagine fasulle di tutti i generi che tentano di replicare siti noti e che, sempre piu' spesso, propongono falsi software antivirus, antispyware ecc...

Edgar

Nessun commento: