Edgar Bangkok
28-07-2008, 04:09
luned́ 28 luglio 2008
Molte volte la ricerca di nuove varianti di malware che simula codecs o setup di video players che tentano di colpire utenti della rete italiani , porta, come una delle fonti privilegiate, la consultazione di forum web.
Lascia comunque piuttosto perplessi il fatto che i forum che vedremo linkare a malware, in genere varianti del noto ZLOB, siano comunque collegati a siti di una certa importanza o comunque appartenenti ad aziende conosciute.
In ogni caso si tratta di links aggiunti al forum tutti in data attuale, aggiornati costantemente e come si vede in quantita' notevole.
Il primo preso in esame e' il forum in italiano collegato ad una nota azienda leader a livello mondiale della fornitura di apparati di networking.
Ecco una pagina indice, che presenta come argomento dei post 'files video'.
(img sul blog)
Questo un esempio di uno dei post presenti (con data attuale)
(img sul blog)
che ospita oltre al testo costituito da frasi o parole tali da comparire in una ricerca in rete relativa al genere porno anche centinaia di foto tutte che linkano a pagina che propone a sua volta un falso file di setup player video di cui vediamo un report virus total.
(img sul blog)
Notare come anche in questo caso una analisi consecutiva effettuata in tempi diversi mostra sempre un differente contenuto del codice malware per aumentarne la probabilita'di NON essere riconosciuto dai softwares antivirus.
Solo 9 su 35 softwares riconoscono il file come pericoloso
(img sul blog)
Questo un whois del sito di falsi filmati
(img sul blog)
Il secondo forum, anche questo collegato a sito sicuramente conosciuto, riporta una serie di post, tutti aggiornati ad oggi, con simili contenuti.
(img sul blog)
Ecco un esempio di post
(img sul blog)
In questo caso cliccando ad esempio su una delle centinaia di foto presenti in ogni singolo post si viene reindirizzati su questo sito (probabilmente uno dei soliti blog fasulli)
(img sul blog)
che , se l'esecuzione degli script sul browser e' attivata, non viene comunque visualizzato in quanto e' presente uno script offuscato
(img sul blog)
che reindirizza su falso sito di video di natura porno che linka a falso setup di player video.
A differenza del forum precedente la pagina con il falso setup mostra un whois che punta a
(img sul blog)
mentre anche in questo caso il file malware viene sempre 'scaricato' , come per il precedente forum da hoster USA ben noto a chi si interessa di malware.
(img sul blog)
Come si vede si tratta di una pratica , piu' che mai attuale, e che sembra possa essere utilizzata senza grossi problemi anche su forum di siti noti e non solo su forum appartenenti a siti meno conosciuti, in quanto probabilmente, non viene posta, anche per siti di una certa importanza, molta attenzione nell'amministrare i forum presenti.
Edgar :D
fonte: http://edetools.blogspot.com/
Molte volte la ricerca di nuove varianti di malware che simula codecs o setup di video players che tentano di colpire utenti della rete italiani , porta, come una delle fonti privilegiate, la consultazione di forum web.
Lascia comunque piuttosto perplessi il fatto che i forum che vedremo linkare a malware, in genere varianti del noto ZLOB, siano comunque collegati a siti di una certa importanza o comunque appartenenti ad aziende conosciute.
In ogni caso si tratta di links aggiunti al forum tutti in data attuale, aggiornati costantemente e come si vede in quantita' notevole.
Il primo preso in esame e' il forum in italiano collegato ad una nota azienda leader a livello mondiale della fornitura di apparati di networking.
Ecco una pagina indice, che presenta come argomento dei post 'files video'.
(img sul blog)
Questo un esempio di uno dei post presenti (con data attuale)
(img sul blog)
che ospita oltre al testo costituito da frasi o parole tali da comparire in una ricerca in rete relativa al genere porno anche centinaia di foto tutte che linkano a pagina che propone a sua volta un falso file di setup player video di cui vediamo un report virus total.
(img sul blog)
Notare come anche in questo caso una analisi consecutiva effettuata in tempi diversi mostra sempre un differente contenuto del codice malware per aumentarne la probabilita'di NON essere riconosciuto dai softwares antivirus.
Solo 9 su 35 softwares riconoscono il file come pericoloso
(img sul blog)
Questo un whois del sito di falsi filmati
(img sul blog)
Il secondo forum, anche questo collegato a sito sicuramente conosciuto, riporta una serie di post, tutti aggiornati ad oggi, con simili contenuti.
(img sul blog)
Ecco un esempio di post
(img sul blog)
In questo caso cliccando ad esempio su una delle centinaia di foto presenti in ogni singolo post si viene reindirizzati su questo sito (probabilmente uno dei soliti blog fasulli)
(img sul blog)
che , se l'esecuzione degli script sul browser e' attivata, non viene comunque visualizzato in quanto e' presente uno script offuscato
(img sul blog)
che reindirizza su falso sito di video di natura porno che linka a falso setup di player video.
A differenza del forum precedente la pagina con il falso setup mostra un whois che punta a
(img sul blog)
mentre anche in questo caso il file malware viene sempre 'scaricato' , come per il precedente forum da hoster USA ben noto a chi si interessa di malware.
(img sul blog)
Come si vede si tratta di una pratica , piu' che mai attuale, e che sembra possa essere utilizzata senza grossi problemi anche su forum di siti noti e non solo su forum appartenenti a siti meno conosciuti, in quanto probabilmente, non viene posta, anche per siti di una certa importanza, molta attenzione nell'amministrare i forum presenti.
Edgar :D
fonte: http://edetools.blogspot.com/