AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati e/o scaricare files eseguibili, se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.
Su malwareurl.com (sito che mantiene un database aggiornato di indirizzi web pericolosi appartenenti a siti compromessi o creati per distribuire malware, falsi Av ecc....) e' comparso recentemente questo record
che come si vede dalla descrizione propone un eseguibile attraverso un sito in lingua italiana.
Ricordo, per chi volesse visitare malwareurl.com l'avviso presente sul sito , da tenere sempre nella dovuta considerazione
WARNING: All domains/IPs listed on this website should be treated with extreme caution.
Some of them will automatically infect your computer.
che tradotto significa che
tutti i domini/IP elencati sul sito devono essere trattati con estrema cautela dato che potrebbero, anche in maniera del tutto automatica, infettare il computer.
Vediamo ora alcuni dettagli del sito scaricando-canzoni(dot)com che ci porteranno a trovare numerosi altri siti simili ed anche due fake cloni del sito che distribuisce il noto software p2p Emule.
Questa la homepage in italiano
dove notiamo subito decine di nomi di files mp3 che sembrerebbero pronti al download ad un click del mouse.
In realta tutti i link presenti se cliccati
portano al download di un eseguibile visto da VT come
Inoltre una interessante caratteristica del sito e' che, dopo qualche decina di secondi, e cliccando sui links, abbiamo un refresh della pagina e, un differente file proposto che parrebbe essere un install del noto software P2P Emule
Il sito questa volta viene catalogato come pericoloso da Norton Safe Web
mentre Site Advisor propone un bollino verde di sito sicuro
Come si notava gia' dalle info presenti su malwareurl.com il sito e' hostato su server IT
Andando ad eseguire un reverse IP dell'indirizzo in questione, le sorprese non mancano
Ci troviamo infatti di fronte a decine di siti tra cui alcuni sono la copia esatta del sito di download mp3 ma in lingua francese
con il medesimo schema di download (prima l'eseguibile di ridotte dimensioni e poi l'install Emule)
Inoltre sempre sui risultati del reverse IP, possiamo trovare anche differenti layout in lingua italiana
ed inglese sempre con i medesimi file eseguibili
Analizzando i risultati del reverse IP abbiamo inoltre anche due fake siti di Emule che vediamo in questo screenshot
Anche questa volta l'eseguibile proposto e' sempre, a parte un differente nome, lo stesso di quello scaricato dai falsi siti di musica mp3, come si nota confrontando i codici MD5 delle analisi VT
Il file eseguibile, catalogato come trojan generico, potrebbe anche essere, come visto da Norton Safe Web, nel caso di uno dei siti visti sopra, un dialer.
Tutte le pagine viste ora, da un whois, parrebbero essere state registrate comunque da diverso tempo e con indirizzo che punta alla Spagna.
Ancora una volta appare evidente come, lo scaricare files eseguibili dalla rete, presenti numerose incognite e convenga sempre cercare di analizzare i contenuti del file , prima di eseguirlo sul nostro computer.
Oltre ad avere un software antivirus aggiornato (che comunque potrebbe in alcuni casi non essere in grado di rilevare quel particolare file) e' utile , specialmente per files scaricati da siti dubbi, eseguirne una analisi, con servizi come Virus Total, che molte volte riescono ad evidenziare un possibile pericolo presente e non visto dal nostro antivirus.
Al limite anche sottoporre il file ad un servizio online che lo analizzi nel dettaglio eseguendolo in sandbox, come ad es.:
http://anubis.iseclab.org/,
http://wepawet.cs.ucsb.edu/
http://www.threatexpert.com/
per citarne solo alcuni, potrebbe essere valido per identificare un possibile problema nel file eseguibile appena scaricato.
Altra importante possibilita di controllo ci viene poi fornita da una ricerca in rete sia del nome del file che dell'indirizzo web o range Ip del sito che proponeva l'eseguibile (ad esempio nel caso di falsi Av e' facile trovare avvisi e commenti di utenti internet che sono caduti nel tranello del falso software antivirus e chiedono consigli per rimuoverlo).
Edgar
Su malwareurl.com (sito che mantiene un database aggiornato di indirizzi web pericolosi appartenenti a siti compromessi o creati per distribuire malware, falsi Av ecc....) e' comparso recentemente questo record
che come si vede dalla descrizione propone un eseguibile attraverso un sito in lingua italiana.Ricordo, per chi volesse visitare malwareurl.com l'avviso presente sul sito , da tenere sempre nella dovuta considerazione
WARNING: All domains/IPs listed on this website should be treated with extreme caution.
Some of them will automatically infect your computer.
che tradotto significa che
tutti i domini/IP elencati sul sito devono essere trattati con estrema cautela dato che potrebbero, anche in maniera del tutto automatica, infettare il computer.
Vediamo ora alcuni dettagli del sito scaricando-canzoni(dot)com che ci porteranno a trovare numerosi altri siti simili ed anche due fake cloni del sito che distribuisce il noto software p2p Emule.
Questa la homepage in italiano
dove notiamo subito decine di nomi di files mp3 che sembrerebbero pronti al download ad un click del mouse.
In realta tutti i link presenti se cliccati
portano al download di un eseguibile visto da VT come
Inoltre una interessante caratteristica del sito e' che, dopo qualche decina di secondi, e cliccando sui links, abbiamo un refresh della pagina e, un differente file proposto che parrebbe essere un install del noto software P2P Emule
Il sito questa volta viene catalogato come pericoloso da Norton Safe Web
mentre Site Advisor propone un bollino verde di sito sicuro
Come si notava gia' dalle info presenti su malwareurl.com il sito e' hostato su server IT
Andando ad eseguire un reverse IP dell'indirizzo in questione, le sorprese non mancano
Ci troviamo infatti di fronte a decine di siti tra cui alcuni sono la copia esatta del sito di download mp3 ma in lingua francese
con il medesimo schema di download (prima l'eseguibile di ridotte dimensioni e poi l'install Emule)
Inoltre sempre sui risultati del reverse IP, possiamo trovare anche differenti layout in lingua italiana
ed inglese sempre con i medesimi file eseguibili
Analizzando i risultati del reverse IP abbiamo inoltre anche due fake siti di Emule che vediamo in questo screenshot
Anche questa volta l'eseguibile proposto e' sempre, a parte un differente nome, lo stesso di quello scaricato dai falsi siti di musica mp3, come si nota confrontando i codici MD5 delle analisi VT
Il file eseguibile, catalogato come trojan generico, potrebbe anche essere, come visto da Norton Safe Web, nel caso di uno dei siti visti sopra, un dialer.
Tutte le pagine viste ora, da un whois, parrebbero essere state registrate comunque da diverso tempo e con indirizzo che punta alla Spagna.Ancora una volta appare evidente come, lo scaricare files eseguibili dalla rete, presenti numerose incognite e convenga sempre cercare di analizzare i contenuti del file , prima di eseguirlo sul nostro computer.
Oltre ad avere un software antivirus aggiornato (che comunque potrebbe in alcuni casi non essere in grado di rilevare quel particolare file) e' utile , specialmente per files scaricati da siti dubbi, eseguirne una analisi, con servizi come Virus Total, che molte volte riescono ad evidenziare un possibile pericolo presente e non visto dal nostro antivirus.
Al limite anche sottoporre il file ad un servizio online che lo analizzi nel dettaglio eseguendolo in sandbox, come ad es.:
http://anubis.iseclab.org/,
http://wepawet.cs.ucsb.edu/
http://www.threatexpert.com/
per citarne solo alcuni, potrebbe essere valido per identificare un possibile problema nel file eseguibile appena scaricato.
Altra importante possibilita di controllo ci viene poi fornita da una ricerca in rete sia del nome del file che dell'indirizzo web o range Ip del sito che proponeva l'eseguibile (ad esempio nel caso di falsi Av e' facile trovare avvisi e commenti di utenti internet che sono caduti nel tranello del falso software antivirus e chiedono consigli per rimuoverlo).
Edgar
Nessun commento:
Posta un commento