domenica 20 dicembre 2009

Links a nuovi falsi video con links a malware o fake AV, su forum IT

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati e/o scaricare files eseguibili, se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Si tratta di links presenti su decine di post di un forum su sito IT che, a vedere i contenuti della homepage, sembrerebbe aggiornato regolarmente.

I numerosi links che compaiono nei post

in data odierna, puntano a questa pagina su sito con dominio .ru ma comunque hostato su server USA
Cliccando sui falsi filmati presenti si viene rediretti ad altra pagina, sempre presente sullo stesso sito USA

che contiene un links modificabile attraverso la presenza di un codice numerico nella url.
Questa una tabella che riassume i diversi possibili risultati a seconda del valore sid= presente


Abbiamo per valori da 1 a 12 il reindirizzamento su falso player simile a Youtube con layout gia' visto diffusamente in rete, (il codice da 1 a 12 corrisponde a diverse gallerie di immagini presentate come anteprime (fasulle) di filmati scaricabili).

Passando un valore di sid=13 abbiamo invece il redirect sulla home di Google nella versione relativa all'IP di provenienza del visitatore (es Google Italia ....) mentre con un valore numerico del sid =14 si viene rediretti sulla homepage di Yahoo.

Una analisi con VT dell'eseguibile linkato dal clone di Youtube dimostra che si tratta sempre del falso flash plugin poco riconosciuto


mentre una ricerca sia su Norton Safe Web

che McAfee Site Advisor

dimostra che il sito che ospita il falso blog viene riconosciuto come SAFE cosa che si spiega anche con l'assenza di una homepage per il sito .ru che ospita i falsi blog linkati dal forum IT.
In pratica sia Norton Safe Web che McAfee Site Advisor tentano di analizzare una homepage che in realta' non esiste essendo l'accesso alla home bloccato

e quindi ritornano un risultato di non pericolosita' del sito stesso.

Edgar

Nessun commento: