lunedì 21 dicembre 2009

Blogs su myblog.it creati per diffonder links a malware (aggiornamenti 21/12)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati e/o scaricare files eseguibili, se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Continua la presenza su myblog.it di blogs creati con il solo scopo di supportare links a siti che distribuiscono (tramite vari redirect) falsi softwares AV, malware, siti di dubbia affidabilta' (ad esempio falsi motori di ricerca...) ecc...
Lo scopo e' sempre quello di creare collegamenti a pagine pericolose attraverso l'indicizzazione dei link da parte dei motori di ricerca (maggiori dettagli in questo precedente post)

Questa una cronologia per immagini di cosa succede seguendo i links presenti su nuovo 'Blog fasullo' online da poche ore

Ecco la homepage del blog su myblog.it

che al suo interno presenta inclusi un migliaio di links

(questa volta sono presenti due diversi indirizzi di siti compromessi hostati in USA)

Sito 1
Sito 2
che la loro interno presentano pagine incluse

con relativo javascript offuscato


che decodificato punta al sito mytraff(dot)com che effettua un redirect su vari altri siti pericolosi

Da notare che una analisi con Norton Safe Web indica il sito mytraff(dot)com come SAFE

mentre questa volta, anche forse per una segnalazione di un utente, McAfee Site Advisor marca mytraff(dot)com con bollino rosso il sito in questione

Il sito che effettua il redirect ( mytraff(dot)com ) a sua volta punta, solitamente alla prima connessione, a questo falso player


con whois

che distribuisce ancora una volta

sempre poco visto da una analisi VT

Al secondo tentativo di connessione mytraff(dot)com redirige invece su questo falso scanner AV online (dal consueto layout)

con whois
e che VT dimostra essere praticamente sconosciuto


Ulteriori connessioni, sempre tramite i links presenti nel 'falso blog' myblog.it, puntano a falso motore di ricerca che a sua volta redirige su siti di dubbia affidabilita' (pharmacy, ecc....)

Edgar

Nessun commento: