domenica 8 maggio 2011

Vecchi post per nuovo malware. Aggiornamento distribuzione malware da forums IT (7-8 maggio)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili molto spesso poco riconosciuti dai softwares AV.

Sempre numerosi i forum IT con la presenza di post creati solo allo scopo di diffondere links a malware.

Si tratta in genere di forum non piu' (o in alcuni casi mai) amministrati ed utilizzati che sono diventati solo supporto alla distribuzione di links a eseguibili pericolosi (malware trojan e falsi AV)

Chiaramente la creazione dei post e' fatta non tanto perche' qualche visitatore occasionale del forum ne segua i links proposti ma piuttosto per fare in modo che i motori di ricerca indicizzino le centinaia di links per poi presentarli come risultato di una ricerca in rete.

Inoltre, come vedremo nei due esempi, il fatto di utilizzare una lunga serie di redirects permette a chi distribuisce il malware di continuare ad utilizzare i post anche dopo mesi dalla loro 'pubblicazione' sul forum preso di mira.

E' il caso di questi due attuali post


e

su forums IT, la cui data di pubblicazione risale a qualche mese fa, ma che se cliccati sulle immagini 'porno' presenti o sui links testuali dopo una lunga serie di redirects, che vediamo in questi dettagli Fiddler

e


puntano in entrambi i casi, pur con links intermedi differenti, alla medesima pagina di ben noto fake Youtube

con eseguibile malware, fatto passare come file indispensabile a visionare i filmati (in realta' solo immagini che li simualano) presenti sul sito.

Una attuale analisi del file eseguibile mostra che ben pochi antivirus lo riconoscono come pericoloso

Questo un dettaglio VT:

Risulta quindi evidente che pur trattandosi di post datati i contenuti siano attuali e con riconoscimento veramente basso da parte de piu' noti softwares AV in commercio tenendo sempre in considerazione i limiti di una scansione on-line on-demand, quale quella VT.

Edgar

Nessun commento: