AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta nel caso del falso player di malware attivo e poco riconosciuto.
Una odierna ricerca in rete evidenzia alcuni siti .IT che sono stati compromessi con l'inclusione di pagine dal layout simile a pagina i blog.Ecco ad esempio i dettagli della struttura di un sito IT che presenta ben due folders contenenti
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SpdvmNI3S0I/AAAAAAAASQg/Gz-jjy5DFEA/s320/1+folders+struct.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SpdvmgbUG_I/AAAAAAAASQo/mA7ay6p1v90/s320/1+blog+1.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SpdvnFO7_wI/AAAAAAAASQw/UdlvYtRN2iI/s320/1+sec+tool+online.jpg)
con relativo download di file che VT vede come
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SpdwEYUFeLI/AAAAAAAASRQ/dP_GjjJhgPE/s320/1+vt+install+exe.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/Spdvng5RPVI/AAAAAAAASQ4/YxPr2MHiV3k/s320/1+blog+2.jpg)
che redirige su questo falso scanner (notare anche il layout con il dettaglio che propone l'IP di provenienza del visitatore)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/Spdvn41agNI/AAAAAAAASRA/OjQL1B_qDwY/s320/1+scanmy+pc+da+blog+2.jpg)
Il file eseguibile di cui e' proposto il download vede un bassissimo riconoscimento da parte dei reali AV
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SpdwDlv2UxI/AAAAAAAASRI/f7qvhomdx4k/s320/1+vt+av58s5.jpg)
Questo un altro sito IT che propone questo differente layout di blog, con redirect sul medesimo falso scanner AV visto prima .( antivirus_58s5(dot)exe )
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SpduRGmQdaI/AAAAAAAASQY/J1NQp4XOZuA/s320/2+shopping+blog.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SpduQqJiofI/AAAAAAAASQQ/RwRtaWlKg5U/s320/3+tube+project.jpg)
che viene proposta da uno dei tanti recenti post fasulli su forum IT
Una analisi
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SpduQGZVrRI/AAAAAAAASQI/N7-TZD2YodU/s320/3+vt.jpg)
Alcuni software AV che al momento danno risposta nulla potrebbero infatti evidenziare il problema malware quando installati ed in funzione su un reale PC a differenza dei risultati del test Virus Total eseguito online e on-demand.
Ecco un riassunto dei files scaricati dai 3 siti analizzati in questo post:
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SpduPhrN5-I/AAAAAAAASQA/o4la8xLSY0c/s320/lista+tot.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SpduPPR7a6I/AAAAAAAASP4/Db-dVby2DyE/s320/list+IP.jpg)
Edgar
Nessun commento:
Posta un commento