Edgar Bangkok
21-08-2008, 03:12
giovedě 21 agosto 2008
Esaminiamo questo nuovo caso di un sito di Comune italiano che ancora una volta ci dimostra come il problema di links a falsi antivirus ospitati su pagine nascoste sia sempre piu' attuale.
Questa la pagina introduttiva del sito comunale
(img sul blog)
che gia' al suo interno contiene inseriti nel codice numerosi links a siti appositamente creati per diffondere falsi softwares antivirus od a normali siti compromessi che al loro interno ospitano links a falso antivirus
Come se non bastasse da questa pagina si accede alla homepage del sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/obfusc2.jpg
che esaminato nella sua struttura presenta qualche sorpresa
(img sul blog)
Sono infatti ospitate in un subfolder nascosto decine di pagine imitanti un blog o un sito di news online e di cui vediamo un esempio
(img sul blog)
da queste, tramite script offuscato,
(img sul blog)
si viene connessi a differenti pagine di falso antivirus
Vediamo alcuni esempi:
Una pagina con falso messaggio di avviso e successivo links
(img sul blog)
oppure direttamente una pagina di falso AV.
(img sul blog)
Un whois di uno dei siti linkati punta a noto hoster gia conosciuto a chi si interessa di malware e applicazioni fasulle.
E' anche interessante notare come queste false applicazioni AV siano pochissimo riconosciute dai 'reali' softwares antivirus.
Questo si spiega con la possibilita' che ha chi gestisce la falsa applicazione di variarne il codice frequentemente.
(img sul blog)
Qui possiamo vedere riassunti in un unico schema i vari passaggi, che portano, dall'accesso ad una pagina nascosta nel sito comunale sino al caricamento del falso AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/sinott1.jpg
Una applicazione pratica di questa inclusione di pagine nascoste la possiamo avere se andiamo ad interrogare un motore di ricerca con termini quali 'antivirus, porn ecc.....”
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/urlscoolegeteoffuscate.jpg
Viene in questo caso presentata una serie risultati riferiti a pagine appartenenti ai piu svariati domini (Giappone. Russia , USA ecc....) che ci porteranno con i loro links direttamente ad una delle pagine nascoste sul sito comunale e, se gli script sono attivi sul browser, ad un falso sito di software antimalware.
Edgar :D
fonte: http://edetools.blogspot.com/
Esaminiamo questo nuovo caso di un sito di Comune italiano che ancora una volta ci dimostra come il problema di links a falsi antivirus ospitati su pagine nascoste sia sempre piu' attuale.
Questa la pagina introduttiva del sito comunale
(img sul blog)
che gia' al suo interno contiene inseriti nel codice numerosi links a siti appositamente creati per diffondere falsi softwares antivirus od a normali siti compromessi che al loro interno ospitano links a falso antivirus
Come se non bastasse da questa pagina si accede alla homepage del sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/obfusc2.jpg
che esaminato nella sua struttura presenta qualche sorpresa
(img sul blog)
Sono infatti ospitate in un subfolder nascosto decine di pagine imitanti un blog o un sito di news online e di cui vediamo un esempio
(img sul blog)
da queste, tramite script offuscato,
(img sul blog)
si viene connessi a differenti pagine di falso antivirus
Vediamo alcuni esempi:
Una pagina con falso messaggio di avviso e successivo links
(img sul blog)
oppure direttamente una pagina di falso AV.
(img sul blog)
Un whois di uno dei siti linkati punta a noto hoster gia conosciuto a chi si interessa di malware e applicazioni fasulle.
E' anche interessante notare come queste false applicazioni AV siano pochissimo riconosciute dai 'reali' softwares antivirus.
Questo si spiega con la possibilita' che ha chi gestisce la falsa applicazione di variarne il codice frequentemente.
(img sul blog)
Qui possiamo vedere riassunti in un unico schema i vari passaggi, che portano, dall'accesso ad una pagina nascosta nel sito comunale sino al caricamento del falso AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/sinott1.jpg
Una applicazione pratica di questa inclusione di pagine nascoste la possiamo avere se andiamo ad interrogare un motore di ricerca con termini quali 'antivirus, porn ecc.....”
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/comneconfakeav/urlscoolegeteoffuscate.jpg
Viene in questo caso presentata una serie risultati riferiti a pagine appartenenti ai piu svariati domini (Giappone. Russia , USA ecc....) che ci porteranno con i loro links direttamente ad una delle pagine nascoste sul sito comunale e, se gli script sono attivi sul browser, ad un falso sito di software antimalware.
Edgar :D
fonte: http://edetools.blogspot.com/