mercoledì 25 agosto 2010

Distribuzione fake Av e malware. Shortening URL e gif animate per siti ingannevoli di player video (agg.25 agosto)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibile in molti casi anche poco riconosciuto dai softwares AV.

Ancora links in rete su forum .IT, guest-books o falsi profili utente su siti .IT per distribuire malware e fake AV.
E' il caso di questo attuale profilo utente

con link che attraverso l'utilizzo multiplo di servizi di shortening url, punta al sito finale che distribuisce malware

La tecnica utilizzata ricorda quella normalmente usata anche in azioni di phishing per rendere i links meno identificabili.

La pagina finale proposta e' ospitata su sito con whois

mentre l'eseguibile, molto utilizzato in questi ultimi giorni specialmente in links presenti su post fakes in forum IT , e' ospitato su server USA.
In realta' come sito proposto dal link non abbiamo una unica pagina (con link al solito eseguibile) ma una serie di diversi layout come ad esempio il consueto



ma anche

oppure questo links a sito di fake ricerche in rete

ma anche questo nuovo layout di fake sito di filmati porno

che vale la pena di, analizzare in dettaglio per evidenziarne la notevole semplicita' del codice source, che dimostra come si possano ottenere pagine ingannevoli senza 'scomodare' complessi codici con con flash, javascripts ecc....

Come si nota la pagina e' composta solo da una immagine gif animata ed un link all'eseguibile malware attivabile cliccando su qualsiai parte della gif

Ecco come si presenta la gif animata al momento del caricamento sul browser

e che dopo 1 secondo propone la medesima immagine in bianco e nero con la presenza dell'avviso ' get Adobe flash player” simulando cosi' perfettamente un normale messaggio di allerta sull'assenza delle funzionalita' Flash player sul pc.

Per quanto si riferisce al file eseguibile anche questa volta dovrebbe trattarsi di fake AV visto dalla meta' circa dei softwares AV presenti in Virus Total

Edgar

Nessun commento: