sabato 27 giugno 2009

Le “Brutte Notizie” sono una opportunita' per diffondere malware .La conferma.

Ecco la conferma di quanto anticipato nel post di ieri

La piattaforma di gestione blog VOX (Vox is an Internet blogging service run by Six Apart, which launched on October 26, 2006. ) e' diventata nelle ultime ora la distributrice di links che puntano a pagine di falso blog con collegamento a malware come risultato di ricerche in rete

Ecco una delle pagine di blog presenti su VOX a cui veniamo linkati

Probabilmente queste pagine erano gia' pronte per la notizia della morte di Farrah Fawcett in quanto come si puo' notare non si parla della scomparsa di Michael Jackson.

In ogni caso si tratta di un blog di utente fasullo creato da poco con il solo scopo di fornire links a malware e dove notiamo in evidenza uno falso screen di player video che e' tipico di queste pagine pericolose.

Cliccando sul falso player abbiamo , tramite redirect, con diversi passaggi l'apertura di questa pagina (gia vista in passato)

con nuovamente l'immagine del player video, che se cliccata scarica sul pc un falso stream viewer, file exe in realta malware.

Da notare che la pagina con il falso player e' una pagina per cosi dire 'standard' a cui si viene rediretti anche da siti di falsi filmati video di solito di genere porno, da links presenti in falsi forum ecc... e che viene ora utilizzata per questa 'distribuzione' malware.

Una analisi VT rivela il solito basso riconoscimento del file eseguibile che , anche questa volta, presenta una mutazione del codice ad ogni download, per eludere meglio i softwares AV.


Per quanto si riferisce ai vari redirect tra sito VOX e sito finale malware, c'e' anche da notare l'utilizzo del riconoscimento del referer restituito dal browser in quanto un accesso diretto a detti siti provoca l'apertura di Google e non del sito pericoloso.

A parte questo genere di distribuzione malware sono molte le info in rete al riguardo anche della comparsa di mail di spam ad oggetto la morte di Michael Jackson

e con il relativo malware linkato (fonte www.sophos.com)

Edgar

Nessun commento: