Quelli che vediamo oggi, con date recenti, hanno in piu' la particolarita' di provenire da uno de siti appartenenti alla Radiotelevisione Italiana - RAI
Ecco infatti una delle pagine RAI, dal titolo che per ironia della sorte sembra quasi appropriato ai contenuti ( '...distributore automatico di stimoli quotidiani ....' ) e che propone diversi links tutti o quasi attivi e comunque indicizzati dai principali motori di ricerca.
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SitCxfmQ-GI/AAAAAAAAOns/Wo8cHOWEGio/s320/pagina+links+rai.jpg)
Tra l'altro sembra che BING, il nuovo motore di ricerca Microsoft, presenti molti links proprio a queste pagine RAI.
In dettaglio, vediamo ad esempio questo link datato maggio 2009, e chiaramente inserito da chi vuole creare il maggior numero di collegamenti a siti pericolosi:
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SitCx6twIXI/AAAAAAAAOoM/MOt2DZlO_vk/s320/1+link+rai+page.jpg)
Seguendolo si viene rediretti su sito di falso blog, o falso motore di ricerca, con all'interno ad esempio questo codice java offuscato
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SitEDpc67pI/AAAAAAAAOok/cQZWflk-7JA/s320/java+obfu.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SitCxVJcNTI/AAAAAAAAOn0/x7mNRO3wX7E/s320/1+fake+player+codec+exe.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SitCx6JxdaI/AAAAAAAAOoE/5TWn-EeReLY/s320/1+vt+codec+exe.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SitCxi7srHI/AAAAAAAAOn8/JZ3UdfQcsFY/s320/1+whois+ukra.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SitDh4lhGiI/AAAAAAAAOoc/BMF7JGlzo_Y/s320/2+proper+tube+OBFU+.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SitDhnfMmbI/AAAAAAAAOoU/U2-XE6kyQxc/s320/2+vt+streamer.jpg)
Molti altri sono i links presenti che puntano a falsi motori di ricerca od altre pagine dubbie.
Come particolarita' di questi links ci sono da evidenziare alcune caratteristiche e precisamente:
- l'uso quai sempre di redirect tramite sito intermedio , cosa che favorisce la longevita' del link malevolo in quanto chi gestisce la distribuzione malware puo' modificare in tempo reale i links finali a cui puntare;
- l'utilizzo di tecniche di riconoscimento dell'IP di provenienza con geo localizzazione che permette di variare i contenuti o di mostrare ad esempio il link a malware solo al primo collegamento al sito pericoloso mentre per i successivi si viene rediretti a differenti siti
- links a malware che risulta sempre molto aggiornato e poco riconosciuto, almeno da quanto viene rilevato da scansioni online-on demand.
C'e' inoltre da dire che in questi casi visti ora, usando ad esempio Firefox con l'addon Noscript, si puo' preventivamente bloccare l'esecuzione dei codici java presenti e limitarne i danni, o quantomeno valutare se la pagina linkata possa avere contenuti dubbi o pericolosi.
Edgar
Nessun commento:
Posta un commento