Edgar Bangkok
27-08-2008, 04:20
27 agosto 2008
Prendo spunto da un post apparso sul forum di Hardware Upgrade che indicava la presenza di 'strani' commenti su un sito italiano.
Ecco una breve analisi:
Questo uno dei commenti presenti:
(img sul blog)
che come si vede riporta un testo in inglese costituito da un elenco disordinato di parole di genere porno che , come sempre in questi casi, servono a facilitare possibili links da parte dei motori di ricerca.
La parte pericoloso del commento e' invece proprio il nome di chi lo ha postato, in questo caso 'ESTELLE' che riporta un link a pagina gia' vista altre volte in siti che distribuiscono malware.
(img sul blog)
La pagina in questione oltre ad alcuni links a siti porno contiene questo script offuscato
(img sul blog)
che decodificato presenta un link ad altro sito
(img sul blog)
Eseguito il link ecco cosa appare
(img sul blog)
si tratta della pagina di Google , in questo caso in thailandese, considerando che l'interrogazione del sito e' stata fatta appunto dalla Thailandia.
(img sul blog)
Chiaramente non si mette in atto un sistema del genere (falsi commenti con link, redirect a pagina con scripts, ecc...) solo per portare, chi clicca sul nome presente nel commento, ad una pagina Google e quindi vediamo cosa succede forzando un IP 'italiano'
(img sul blog)
Ecco la pagina caricata
(img sul blog)
che ci conferma il reale intento di chi ha inviato commenti di spam.
Si tratta di malware (variante zlob) sotto forma di falso setup di codec video come sempre abbastanza pericoloso in quanto pochissimo riconosciuto dai principali softwares antivirus.
(img sul blog)
Un whois punta a
(img sul blog)
Inoltre, come succede quasi sempre, interrogando la homepage del sito che serve il falso codec abbiamo solo la pagina di test del server web.
C'e' da dire , che ancora una volta, si dimostrano di una certa pericolosita' i commenti di spam aggiunti a forum, blogs ecc... con links di questo tipo, in quanto, chi cliccasse sul link presente, senza avere gli scripts java disabilitati nel browser, si troverebbe direttamente sulla pagina di download del falso player con tutte le conseguenze del caso se accettasse di scaricare ed eseguire il file proposto.
Fortunatamente, almeno nel caso visto ora, sembra che il sito sia amministrato correttamente, e i falsi commenti, siano gia' stati rimossi.
Edgar :D
fonte: http://edetools.blogspot.com/
Prendo spunto da un post apparso sul forum di Hardware Upgrade che indicava la presenza di 'strani' commenti su un sito italiano.
Ecco una breve analisi:
Questo uno dei commenti presenti:
(img sul blog)
che come si vede riporta un testo in inglese costituito da un elenco disordinato di parole di genere porno che , come sempre in questi casi, servono a facilitare possibili links da parte dei motori di ricerca.
La parte pericoloso del commento e' invece proprio il nome di chi lo ha postato, in questo caso 'ESTELLE' che riporta un link a pagina gia' vista altre volte in siti che distribuiscono malware.
(img sul blog)
La pagina in questione oltre ad alcuni links a siti porno contiene questo script offuscato
(img sul blog)
che decodificato presenta un link ad altro sito
(img sul blog)
Eseguito il link ecco cosa appare
(img sul blog)
si tratta della pagina di Google , in questo caso in thailandese, considerando che l'interrogazione del sito e' stata fatta appunto dalla Thailandia.
(img sul blog)
Chiaramente non si mette in atto un sistema del genere (falsi commenti con link, redirect a pagina con scripts, ecc...) solo per portare, chi clicca sul nome presente nel commento, ad una pagina Google e quindi vediamo cosa succede forzando un IP 'italiano'
(img sul blog)
Ecco la pagina caricata
(img sul blog)
che ci conferma il reale intento di chi ha inviato commenti di spam.
Si tratta di malware (variante zlob) sotto forma di falso setup di codec video come sempre abbastanza pericoloso in quanto pochissimo riconosciuto dai principali softwares antivirus.
(img sul blog)
Un whois punta a
(img sul blog)
Inoltre, come succede quasi sempre, interrogando la homepage del sito che serve il falso codec abbiamo solo la pagina di test del server web.
C'e' da dire , che ancora una volta, si dimostrano di una certa pericolosita' i commenti di spam aggiunti a forum, blogs ecc... con links di questo tipo, in quanto, chi cliccasse sul link presente, senza avere gli scripts java disabilitati nel browser, si troverebbe direttamente sulla pagina di download del falso player con tutte le conseguenze del caso se accettasse di scaricare ed eseguire il file proposto.
Fortunatamente, almeno nel caso visto ora, sembra che il sito sia amministrato correttamente, e i falsi commenti, siano gia' stati rimossi.
Edgar :D
fonte: http://edetools.blogspot.com/