martedì 24 marzo 2009

Aggiornamento malware 24 marzo

N.B. Ricordo ancora una volta che i links elencati puntano a siti tuttora online e pericolosi ed ai relativi files eseguibili scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie).

Ecco alcuni aggiornati files eseguibili sia di falsi AV che di malware scaricabili da siti di forum su dominio IT ma anche linkati da pagine inserite in maniera nascosta all'interno di siti in lingua italiana.

Da qualche tempo compaiono su ricerche in rete siti italiani che al loro interno ospitano un folder nascosto individuabile in genere da /x/ dove x puo' prendere un valore numerico di solito da 1 a 4....

Nel dettaglio , si tratta di siti compromessi nei quali l'inserimento di una o piu' pagine permette di avere una serie di links gestiti da script java che puntano a siti con contenuti di vario genere ma normalmente falsi Av o siti di falsi filmati video con relativi codec / players / install tutti rigorosamente malware.
Lo scopo di questa operazione e' quello di generare facilmente, quando si esegue una ricerca in rete, risultati che puntino a queste pagine hostate in maniera nascosta, ed, in automatico, se gli script sul browser sono attivati, redirigere esempio sul falso scanner av online.

Esaminiamo in dettaglio questo sito italiano, che compare su una ricerca odierna fatta in rete

Come vediamo il codice della pagina inserita contiene un riferimento a javascript offuscato

che possiamo facilmente deoffuscare

e che punta ad uno dei tanti falsi scanner Av presenti in rete, che propone un eseguibile di cui vediamo una analisi VT

Diverso e' il caso di questi aggiornati files linkati da falsi post su forum italiani che presentano uno scarso riconoscimento da parte dei piu usati software AV

ed anche

Si tratta sempre di falsi codec, install o players che vengono scaricati cliccando su una immagine (a volte animata) visualizzata sulla pagina che simula un player video.

Questo un riassunto dei files scaricati con relativi IP di provenienza che di solito fanno parte di ranges IP che puntano a siti di dubbia affidabilita' se non addirittura distributori di malware
Esaminato ad esempio il range locato in paese dell'est europeo vengono individuati numerosi siti di falsi filmati , di solito a carattere porno, che come in questo caso propongono il download del player o movie sotto forma di eseguibile ,

come sempre non molto riconosciuto dai softwares AV


Ricordo comunque che esistono differenze tra una scansione online e un riconoscimento dell'eseguibile pericoloso, quando questo viene lanciato su un pc dove gira un software AV, intervenendo, in questo caso, meccanismi di difesa (ad esempio tecnologie di tipo euristico) che su uno scanner ON-Demand ed online potrebbero essere solo in parte implementate ed efficaci

Edgar

Nessun commento: