Edgar Bangkok
30-07-2008, 03:00
mercoledì 30 luglio 2008
Su www.matchent.com/wpress blog (al momento offline) viene riportata la presenza in rete di una pagina che simula un falso avviso Google riferito ad una possibile malware sul nostro computer.
(img sul blog)
Diamo una occhiata un poco piu approfondita a quello che ci propone la falsa pagina.
In realta', si scopre subito che non si tratta di una sola pagina che riporta un layout simie ad un avviso Google ma di decine.
Qui vediamo un folder che
(img sul blog)
a sua volta ospita una decina di subfolder
(img sul blog)
ognuno dei quali contiene un certo numero di pagine web che presentano il falso avviso
(img sul blog)
Sembra che la differenza esistente tra le varie pagine a seconda del folder che le contiene sia il diverso contenuto di link al loro interno, che comunque non vengono visualizzati in quanto il 'font style ' del testo e' impostato in maniera tale da renderlo invisibile
(img sul blog)
Eliminando parte del codice sulla pagina web la possiamo infatti visualizzarne interamente il contenuto.
(img sul blog)
A questo punto se cklicchiamo su uno dei collegamenti presenti viene eseguito un script java
(img sul blog)
che utilizza il referrer della pagina di provenienza
Come si vede l'url che risulta linka ad un server che ospita un falso antivirus e questa url seleziona il 'modello' del falso software attraverso la presenza di un codice che, ad esempio, nel caso di product = XPA porta al caricamento del noto AV2009
(img sul blog)
mentre con product = XPC abbiamo il caricamento di una pagina di falso scanner per la ricerca di possibili contenuti 'illegali' sul nostro pc.
La pagina del falso scanner che e' disponibile anche con differente layout
(img sul blog)
Il file eseguibile scaricato da sito e' in realta'
(img sul blog)
e tra l'altro anche non molto riconosciuto dai software Av (circa il 50%)
Come curiosita' si puo notare che se si accede al dominio che fa parte della url che carica i falsi antivirus abbiamo visualizzata questa pagina
dove il link refs.txt punta ad un elenco in formato txt di centiania di urls , forse generate in automatico leggendo i referrers di chi si connette al sito.
L'accesso invece al dominio presente nello script iniziale punta a questo 'particolare' sito dove sono presenti una notevole quantita' di link alfabetici che in cascata linkano a pagine che ospitano parte di codice Youtube con riferimenti all'argomento del link.
(img sul blog)
Chiaramente cliaccando i link presenti sui video si riceve un errore di pagina non trovata.
In pratica ci troviamo di fronte a codice di pagine Youtbe copiato ed inserito in numerose pagine fittizie probabilmente utilizzate attraverso l'uso di falsi links.
(img sul blog)
Come si vede continua in rete la presenza sia di pagine fasulle di tutti i generi che tentano di replicare siti noti e che, sempre piu' spesso, propongono falsi software antivirus, antispyware ecc...
Edgar :D
fonte : http://edetools.blogspot.com/
Su www.matchent.com/wpress blog (al momento offline) viene riportata la presenza in rete di una pagina che simula un falso avviso Google riferito ad una possibile malware sul nostro computer.
(img sul blog)
Diamo una occhiata un poco piu approfondita a quello che ci propone la falsa pagina.
In realta', si scopre subito che non si tratta di una sola pagina che riporta un layout simie ad un avviso Google ma di decine.
Qui vediamo un folder che
(img sul blog)
a sua volta ospita una decina di subfolder
(img sul blog)
ognuno dei quali contiene un certo numero di pagine web che presentano il falso avviso
(img sul blog)
Sembra che la differenza esistente tra le varie pagine a seconda del folder che le contiene sia il diverso contenuto di link al loro interno, che comunque non vengono visualizzati in quanto il 'font style ' del testo e' impostato in maniera tale da renderlo invisibile
(img sul blog)
Eliminando parte del codice sulla pagina web la possiamo infatti visualizzarne interamente il contenuto.
(img sul blog)
A questo punto se cklicchiamo su uno dei collegamenti presenti viene eseguito un script java
(img sul blog)
che utilizza il referrer della pagina di provenienza
Come si vede l'url che risulta linka ad un server che ospita un falso antivirus e questa url seleziona il 'modello' del falso software attraverso la presenza di un codice che, ad esempio, nel caso di product = XPA porta al caricamento del noto AV2009
(img sul blog)
mentre con product = XPC abbiamo il caricamento di una pagina di falso scanner per la ricerca di possibili contenuti 'illegali' sul nostro pc.
La pagina del falso scanner che e' disponibile anche con differente layout
(img sul blog)
Il file eseguibile scaricato da sito e' in realta'
(img sul blog)
e tra l'altro anche non molto riconosciuto dai software Av (circa il 50%)
Come curiosita' si puo notare che se si accede al dominio che fa parte della url che carica i falsi antivirus abbiamo visualizzata questa pagina
dove il link refs.txt punta ad un elenco in formato txt di centiania di urls , forse generate in automatico leggendo i referrers di chi si connette al sito.
L'accesso invece al dominio presente nello script iniziale punta a questo 'particolare' sito dove sono presenti una notevole quantita' di link alfabetici che in cascata linkano a pagine che ospitano parte di codice Youtube con riferimenti all'argomento del link.
(img sul blog)
Chiaramente cliaccando i link presenti sui video si riceve un errore di pagina non trovata.
In pratica ci troviamo di fronte a codice di pagine Youtbe copiato ed inserito in numerose pagine fittizie probabilmente utilizzate attraverso l'uso di falsi links.
(img sul blog)
Come si vede continua in rete la presenza sia di pagine fasulle di tutti i generi che tentano di replicare siti noti e che, sempre piu' spesso, propongono falsi software antivirus, antispyware ecc...
Edgar :D
fonte : http://edetools.blogspot.com/