Anche se e' da qualche tempo che non viene trattato dal blog, l'argomento relativo a links a falsi siti di filmati online (quasi sempre di genere porno) utilizzando post creati allo scopo su forum poco o per niente amministrati, e' sempre di attualita'
Questo un
odierno forum IT dove notiamo una
lunga sequenza di post aggiornati in tempo reale (in media dai 3 ai 5 al minuto) e comprendenti
differenti links a fake sito di filmati porno![](//2.bp.blogspot.com/-9xtGHEMDwiM/Tx6LxKsBGyI/AAAAAAAAn_o/0VKpQBSrH3E/s320/postst%2Blist%2B2012-01-24_153518.jpg)
Ecco un
tipico post con immagine cliccabile![](//3.bp.blogspot.com/-zifEi4LUm30/Tx6Lw5xznRI/AAAAAAAAn_M/OflR_zieBU4/s320/post%2Bexample.jpg)
e lunga
serie di termini relativi al medesimo argomento porno trattato con lo scopo di creare il maggior numero di link attraverso una ricerca in rete.![](//1.bp.blogspot.com/-Kyje9bYtpZ8/Tx6LxABMs6I/AAAAAAAAn_U/DpxtZrk7fw8/s320/words.jpg)
E' interessante analizzare il link proposto con Fiddler ottenedo
![](//1.bp.blogspot.com/-aVVy_lei2Qk/Tx6Lxpa2KWI/AAAAAAAAn_w/Tr_IftOKTPk/s320/redir%2Bfiddler.jpg)
con
un primo redirect utilizzando tinyurl seguito a sua volta da un
redirect gestito attraverso URL che punta a Google.
Si tratta di un tipico caso di '
Google Search URL Redirection' gai visto in passato.
A sua volta verremo rediretti, senza che appaia alcun riferimento a Google nel browser, ad altro sito che successivamente puntera' ad
uno dei tanti layout di gestione filmati video in parte gia' visti altre volte![](//4.bp.blogspot.com/-_Sre3m-AEtc/Tx6MtTKWJGI/AAAAAAAAoAE/xVQH9jPbwIM/s320/allro%2Bflash.jpg)
e
![](//2.bp.blogspot.com/-hIklIWQbtDs/Tx6MtKr5GnI/AAAAAAAAn_8/Ks-r1goEFz0/s320/a2%2Bpage.jpg)
ma anche con
differente presentazione del fake player che parrebbe essere aggiornata.![](//3.bp.blogspot.com/-3Ztvq63B454/Tx6MtsBkIiI/AAAAAAAAoAY/OhaAiixkiZM/s320/1.jpg)
da cui
![](//3.bp.blogspot.com/-ADfcYFgagnU/Tx6Mvt4cfII/AAAAAAAAoAg/qh4ShB-sAXU/s320/flash%2Bplayer%2Bfake%2Bfile.jpg)
Naturalmente
sara' necessario scaricare il programma di installazione del FAKE player flash che in realta' dimostrera' essere
![](//2.bp.blogspot.com/-p6oXQyWWI50/Tx6MvrW3j2I/AAAAAAAAoAs/vRVLEBW1CNc/s320/vt.jpg)
Questo un whois del sito di falsi filmati:
![](//2.bp.blogspot.com/-nRZMuQ_u75o/Tx6OjETttPI/AAAAAAAAoA4/YQfLzVK-hgc/s320/wh%2B1.jpg)
Da notare come in questi casi sfruttando
differenti e multipli redirect, e post su forum pubblicati ad intervalli
di tempo molto breve, chi vuole distribuire malware disponga di tutto l'occorrente per proporre eseguibili non facilmente individuabili dai sofwares AV e con possibilita' di utilizzare indirizzi web continuamente variati che rendono difficoltoso anche un blacklisting degli stessi.
Edgar
Nessun commento:
Posta un commento