venerdì 19 novembre 2010

Distribuzione malware e pharmacy (19 novembre)

Sempre attraverso links presenti su forum IT ecco alcuni aggiornamenti relativi sia a pagine di pharmacy che falsi eseguibili AV.
Questo un attuale post

su forum italiano, che propone diversi link tutti a siti sviluppati in WordPress e tutti compromessi con inclusione di pagine che presentano questo codice
dove notiamo molto bene la presenza di un link a pharmacy attivato dal document.referer.
Questa la pagina di vendita online di medicinali

mentre questa la semplice scritta presentata in alternativa

Ecco invece una pagina di redirect (link sempre presente su forum IT) che propone una unica immagine che simula contenuti di player video

e che a sua volta redirige su questa pagina dal layout curato, con avviso di Security Update per Flash Player.

Il file proposto e' praticamente sconosciuto ad una analisi VT


Da notare che lo stesso file scaricato dopo qualche ora presenta differente risposta da parte degli Av notando come McAfee che prima rilevava il file come pericoloso ora non avverte del contenuto malevolo.

Successivamente la stessa pagina a iniziato a distribuire in alternativa ad AdobeSecurityFix.exe un nuovo eseguibile

Per questa distribuzione di malware vengono anche usati domini co.cc. creati con questo servizio free Koreano.

Edgar

Nessun commento: