martedì 18 novembre 2008

Distribuzione falso Av tramite siti .IT compromessi.

Eseguendo una ricerca in rete di siti compromessi .IT si nota una rilevante presenza di siti con pagine nascoste che puntano a falsa applicazione antivirus tuttora attiva e scarsamente riconosciuta dai normali AV
Ecco la pagina del falso scanner online:

Un whois del sito punta a

Si tratta del sito scan(dot)scannerantispyware(dot)com che propone un eseguibile che attivato carica l'applicazione denominata 'Pro Antispyware 2009' come vediamo dall'esecuzione dell'install

Esaminiamo in dettaglio le modalita' di questa distribuzione di falso AV tuttora attiva.

La struttura dell'attacco al sito da utilizzare come distributore di links a questo falso av comprende, quasi sempre, l'inclusione di un folder creato al momento dell'attacco e dal nome _images che possiamo visualizzare su questo sito .IT colpito

Il folder images a sua volta contiene il codice che , tramite una pagina con javascript offuscato, reindirizzera' in maniera automatica al sto del falso AV

Da notare che il nome della funzione offuscata dello script e' diverso per ogni sito colpito e questo ne aumenta la difficolta di ricerca.

Questo lo script offuscato


che deoffuscato punta al sto di falso AV tramite un redirect su altro sito con whois in

per giungere al sito finale che distribuisce il falso AV

Una analisi con Virus Total

evidenzia che, al momento di scrivere il post, quasi nessun software AV 'reale' rileva il file come pericoloso anche perche' probabilmente esiste un continuo aggiornamento del codice per evitarne il riconoscimento da parte dei softwares antivirus.

A questo punto, tramite l'uso del tool di ricerca e' interessante stabilire quanti siti .IT stiano al momento distribuendo questi link a falso Av

Una ricerca dimostra che la quantita' e' notevole, anche se riferita ai soli siti italiani.
Questo un report solo parziale, ottenuto filtrando i codici sorgenti scaricati, con una stringa di caratteri comunque comune a tutti i siti che presentano il problema del codice incluso

Come si vede si tratta di un numero rilevante di siti .IT online che ospitano tuttora la pagina inclusa che redirige a falso AV.
Su circa 600 pagine analizzate ne abbiamo piu' di 170 che contengono lo script che redirige al falso AV

Come gia' successo altre volte le modalita' di questo attacco portano ad avere un folder nascosto all'interno del sito colpito con la conseguenza che ,molto spesso, chi gestisce il sito ignora l'esistenza dei codici aggiunti.

Edgar

Nessun commento: