Edgar Bangkok
04-09-2008, 03:38
giovedì 4 settembre 2008
Continuano le mails di spam contenenti links a malware.
Ecco una mail ricevuta ieri:
(img sul blog)
Il testo del messaggio tenta di incuriosire chi riceve la mail con news di attualita'
Una volta cliccato sul link si viene portatati su una pagina con contenuti debolmente offuscati
(img sul blog)
La pagina propone il 'solito' player con codec video fasullo
(img sul blog)
che come sempre non e' riconosciuto da molti dei programmi presenti nel report di Virus Total
(img sul blog)
L'IP presente in URL appartiene , come vediamo, ad un sito che sembrerebbe essere di azienda che si occupa di sicurezza informatica !!! e che presenta inserito nelle home come se non bastasse, un iframe
(img sul blog)
con link a server turco (gia' noto a chi si interessa di malware) che tenta di scaricare un exploit sul pc
(img sul blog)
Come curiosita' si puo notare che lo stesso IP, a conferma del problema malware, e' riportato da http://www.malwaredomainlist.com
(img sul blog)
ma la cosa interessante e' che se risolviamo con un whois indirizzo IP visto ora abbiamo una URL che punta ad un medesimo sito dell'azienda vista ora , con identico layout ,ma che e' hostato su differente IP.
(img sul blog)
e che questa volta NON presenta problemi malware.
Edgar :D
fonte: http://edetools.blogspot.com/
Continuano le mails di spam contenenti links a malware.
Ecco una mail ricevuta ieri:
(img sul blog)
Il testo del messaggio tenta di incuriosire chi riceve la mail con news di attualita'
Una volta cliccato sul link si viene portatati su una pagina con contenuti debolmente offuscati
(img sul blog)
La pagina propone il 'solito' player con codec video fasullo
(img sul blog)
che come sempre non e' riconosciuto da molti dei programmi presenti nel report di Virus Total
(img sul blog)
L'IP presente in URL appartiene , come vediamo, ad un sito che sembrerebbe essere di azienda che si occupa di sicurezza informatica !!! e che presenta inserito nelle home come se non bastasse, un iframe
(img sul blog)
con link a server turco (gia' noto a chi si interessa di malware) che tenta di scaricare un exploit sul pc
(img sul blog)
Come curiosita' si puo notare che lo stesso IP, a conferma del problema malware, e' riportato da http://www.malwaredomainlist.com
(img sul blog)
ma la cosa interessante e' che se risolviamo con un whois indirizzo IP visto ora abbiamo una URL che punta ad un medesimo sito dell'azienda vista ora , con identico layout ,ma che e' hostato su differente IP.
(img sul blog)
e che questa volta NON presenta problemi malware.
Edgar :D
fonte: http://edetools.blogspot.com/