Nulla di nuovo, se non fosse che la pagina in questione, e' una di quelle proposte dalla Botnet Waledac, ormai abbastanza note per i contenuti pericolosi sotto forma di files eseguibili.
Ecco come appare una analisi SiteAdvisor di un dominio tra quelli noti appartenenti alla botnet Waledac
L'avviso si limita ad indicare che la pagina e' diffusa in rete attraverso l'invio di mails di spam, senza pero' evidenziare il pericolo nascosto nei downloads collegati al falso video di news Reuters.
Stranamente , al momento di scrivere il post, il software AV McAfee sembra evidenziare il pericolo, come si nota da una scansione VT, ma evidentemente le continue variazioni del codice malevolo, non hanno permesso a SiteAdvisor di rilevare il problema, al momento dell'analisi del sito.C'e' comunque da notare che nella sua semplicita' il layout della pagina Waledac dell'ultimo 'tema' proposto e precisamente le news Reuters, anche se da un lato ne limita l'efficacia della distribuzione del malware (bisogna comunque eseguire il download e lanciare il file exe pericoloso) , dall'altro rende i contenuti (links) non facilmente individuabili da siti che propongono la scansione online di codici di pagine web per verificarne la sicurezza.
Due esempi di questo sono sia il sito Wepawet (Department of Computer Science dell'University of California, Santa Barbara ) che propone una analisi di eventuali codici pericolosi (java, flash, PDF ...) contenuti nel sito da analizzare.
In questo caso (pagina waledac) il risultato
e' l'assenza di problemi sulla pagina della botnetStesso discorso vale anche per il MELANI Website - Checktool (disponibile in italiano) che esegue una verifica su eventuali javascripts presenti nel codice della pagina analizzata
e che chiaramente anche in questo caso non rileva pericoli di sorta.Cosa diversa per Anubis (International Secure Systems Lab Vienna University of Technology, Eurecom France, UC Santa Barbara ) che non si limita ad analizzare la pagina ma esegue anche eventuali files linkati
ottenendo un risultato che propone avvisi sul pericolo contenuto sul sito esaminato.(vedi aggiornamenti)Anubis, in effetti, e' nato come sito di analisi di files eseguibili, e l'opzione verifica url e' stata aggiunta successivamente.
Aggiornamenti su Anubis e altro
Da quanto segnalato sul forum di Hardware Upgrade ed in effetti verificato sembra che anche Anubis non sia comunque del tutto affidabile quando gli vengono sottoposti siti web, o meglio, tenda sempre a indicarli come pericolosi indipendentemente dai contenuti reali di files eseguibili linkati, generando falsi positivi
La riprova e' che passandogli ad esempio il sito Google,
Anubis indica, come eseguibile analizzato, quello del browser da lui utilizzato nei test della pagina. (i-explorer), generando sempre un allerta su possibili modifiche di files...(che evidentemente ci sono ma non appartengono all'esecuzione del malware linkato)Diverso se passiamo ad Anubis un link come (ghrgt(dot)hostindianet(dot)com) a pagina che punta a codice malevolo (script java)
ottenendo il seguente report
fermo restando che l'eseguibile di internet explorer e' comunque sempre inserito nel test del codice.Pagina che peraltro viene individuata come pericolosa da
ma non, in questo caso, sia da
che da WOT, che non evidenzia problemi sulla pagina.Come dire che un certo livello di attendibilita' sulla pericolosita' di una pagina web si puo' ottenere solo con una analisi diretta anche integrata dai risultati generati attraverso siti preposti a questo e mai basandosi su un solo singolo report o scansione AV online.
A completamento del quadro della, a volte, scarsa affidabilita' dei risultati ottenuti da siti di scansione ed individuazione di pagine con problemi malware, vediamo come Norton SafeWeb cataloghi un dominio Waledac tra quelli attivi al momento:
Bollino verde (SAFE) ossia pagina web completamente esente da problemi !!!! ma che invece linka a
file malware veramente pochissimo riconosciuto al momento come file pericoloso dai principali softwares AV.Edgar
Nessun commento:
Posta un commento