AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.
In precedenti post abbiamo visto i diversi metodi di distribuzione del file eseguibile Flash-HQ-plugin.xxxxx.exe, (xxxxx come numero casuale) e gli sviluppi della sua distribuzione in rete.
A distanza di una decina di giorni, non solo la distribuzione dell'eseguibile continua, ma il suo riconoscimento, da una analisi VT, risulta praticamente nullo
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SxiA5By4_UI/AAAAAAAAVY4/lF6o7PapTU0/s320/vt.jpg)
Ecco alcuni metodi di 'distribuzione' attivi al momento
Questo blog, di sezione regionale di noto sindacato italiano (gia utilizzato spesso in passato ai fini di distribuire links a malware)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SxiA58SB_TI/AAAAAAAAVZI/UN394-mPeAc/s320/forum+sindac.jpg)
mostra, come succede da tempo, i post aggiornati quotidianamente con sempre nuovi links a pagine che tramite ulteriori redirect, puntano al 'solito' falso player
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SxiA5Vz51fI/AAAAAAAAVZA/vDANmiEn0Ts/s320/fake+player+2009-12-04_091603.jpg)
che distribuisce l'eseguibile pericoloso.
La spiegazione di come possano essere utilizzati forum per questi scopi e' chiaramente presente osservando la pagina dell'elenco dei post e cioe' la scritta 'moderatori = nessuno “
Sempre rimanendo su forum male o per niente amministrati, ecco questo post, in data recente, che visualizza direttamente anche il fake player, che se cliccato ripropone lo stesso eseguibile gia' visto.
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SxiA6GFh7YI/AAAAAAAAVZQ/nPkzdOOYGE0/s320/altro+forum.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SxiBiCgPzWI/AAAAAAAAVZo/L6fA31QnwDU/s320/links+pagina+myblog.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SxiBhimQ4vI/AAAAAAAAVZY/7-y_q8MrLdc/s320/myblog+redir.jpg)
propongono questo player, dal differente layout, ma sempre con il medesimo eseguibile scaricabile.
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SxiBh0dvZbI/AAAAAAAAVZg/Gy0UyffVyo4/s320/myblog+player+redir.jpg)
Per tutti questi casi visti ora la fonte del file malware e' comune
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SxiBiu8IweI/AAAAAAAAVZw/cf7zDGeYj3g/s320/eseguibili+con+fonte+comune.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SxiBjGfvYcI/AAAAAAAAVZ4/7z8kqCd7uVA/s320/fonte+ip+malwa.jpg)
Anche se i risultati VT sono inesistenti per quanto si riferisce alla probabile natura del file una analisi www.threatexpert.com rivela qualche particolare in piu' sull'attivita dell'eseguibile.
Questo il link all'analisi del file:
http://www.threatexpert.com/report.aspx?md5=26b585dc65f55d4f098bc7c4163a094d
Come si nota, viene rilevato come probabile fake AV,
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SxiGog3cNPI/AAAAAAAAVaA/VFQf_lpFkRA/s320/thexp+ris.jpg)
Edgar
Nessun commento:
Posta un commento