domenica 29 gennaio 2012

Distribuzione eseguibili malware attraverso forum IT (29 gennaio)

Su questo post del 24 gennaio veniva analizzata l'ennesima distribuzione malware attraverso posts su forum IT creati solo allo scopo di linkare siti dai contenuti malware sotto forma di fake players video, install di flash player ecc...

Vediamo qualche ulteriore dettaglio aggiornato ad oggi:

Come si nota dalla pagina dell'elenco dei posts viene indicata data odierna (today) che rivela un continuo 'aggiornamento' degli stessi in tempo reale

mentre ecco un tipico layout di uno dei messaggi postati attualmente.

Il link presente punta, tramite redirects al fake player di filmati porno

A conferma dell'attuale stato attivo dell'azione di distribuzione malware notiamo alcune differenze sulla sequenza dei redirects sia con l'uso di snipr.com in sostituzione di tinyurl.com del 24/1

e di google.ru come redirect tramite l'uso di google rispetto a google.com usato la volta scorsa.

Il malware linkato da

si presenta rispetto al 24 gennaio

ancora meno riconosciuto (notare anche differente software AV che rileva il codice pericoloso)

con solo 3 software che evidenziano i contenuti malevoli ( in realta'di 2 aziende, essendo presenti due versioni di software McAfee)


Anche se sono ben noti i limiti dovuti ad una scansione online quale quella di Virus Total che potrebbe avere risposta diversa del software AV quando eseguito sul reale PC dell'utente, rimane il fatto che ci troviamo odi fronte ad un codice malware attualmente non rilevato dai softwares AV e quindi che potrebbe creare qualche problema a chi eseguisse il fake install di flash player sul PC.

Edgar

Nessun commento: