Edgar Bangkok
01-10-2008, 05:34
mercoledì 1 ottobre 2008
Qualche giorno fa, un blog di noto produttore di software antivirus, informava della scoperta di falsi forum che distribuiscono malware.
In realta' la cosa e' gia in atto da diverso tempo, come possiamo vedere dalle date presenti sui post di questo forum di sito italiano, relative ai medesimi links indicati nel post sul blog USA.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/forum1reale.jpg
Ecco cosa succede aprendo uno dei links proposti e ricordando che si tratta di collegamenti un poco 'datati':
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/forumfakeproboard.jpg
Come si vede ci troviamo di fronte alla pagina principale di un forum creato appositamente per distribuire malware attraverso links o in automatico con un javascript offuscato contenuto nel codice della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/scriptobfu1.jpg
Una volta in esecuzione lo script ci porta tramite un link a sito intermedio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/sniffobfu.jpg
su questa pagina dal layout ben noto che contiene falsi links a filmati scaricabili solo installando un file di setup
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/tubeobfus.jpg
file setup.exe che ad una analisi VT mostra la sua pericolosita'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/VTsetupsito1.jpg
Anche in questo caso il riconoscimento del malware e' abbastanza basso e si notano alcuni conosciuti software Av che non rilevano la minaccia. Questo e' sempre dovuto al fatto che anche se i links compaiono con riferimenti 'datati' il sistema utilizzato permette sempre un aggiornamento dei codici pericolosi
La falsa pagina di filmati video e' hostata su
(img sul blog)
Gli esempi potrebbero proseguire con altre centinaia di links a medesimi forum presenti su pagine italiane e con data piu' recente rispetto ai links precedenti.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/main2linksobfu.jpg
Come si vede tutti questi links puntano ad un servizio gratuito di forum online.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/proboardofficial.jpg
Si tratta di ProBoards che, leggendo da Wikipedia, si apprende trattarsi di uno dei piu' grandi servizi online di forums con approssimativamente 22.200.000 di utenti e piu' di 2.600.000 forum online.
Tra l'altro registrare nuovo forum di discussione e' veramente facile e veloce consentendo con pochi click la creazione di un forum personale con una grandissima quantita' di opzioni sia di gestione che di personalizzazione delle pagine visualizzate.
A titolo di curiosita' ho provato a creare un forum di prova che potete trovare qui
http://edetools.proboards.com/index.cgi
e confrontando gli IP sia del forum creato che di uno dei centinaia di forum con link a malware abbiamo la riconferma della medesima 'provenienza' delle pagine visualizzate.
Ancora una volta si vede come, approfittando di servizi free di hosting o di gestione di forums, blogs ecc... chi gestisce la distribuzione di malware sfrutti queste possibilita' in maniera molto efficace.
Edgar :D
fonte: http://edetools.blogspot.com/
Qualche giorno fa, un blog di noto produttore di software antivirus, informava della scoperta di falsi forum che distribuiscono malware.
In realta' la cosa e' gia in atto da diverso tempo, come possiamo vedere dalle date presenti sui post di questo forum di sito italiano, relative ai medesimi links indicati nel post sul blog USA.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/forum1reale.jpg
Ecco cosa succede aprendo uno dei links proposti e ricordando che si tratta di collegamenti un poco 'datati':
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/forumfakeproboard.jpg
Come si vede ci troviamo di fronte alla pagina principale di un forum creato appositamente per distribuire malware attraverso links o in automatico con un javascript offuscato contenuto nel codice della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/scriptobfu1.jpg
Una volta in esecuzione lo script ci porta tramite un link a sito intermedio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/sniffobfu.jpg
su questa pagina dal layout ben noto che contiene falsi links a filmati scaricabili solo installando un file di setup
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/tubeobfus.jpg
file setup.exe che ad una analisi VT mostra la sua pericolosita'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/VTsetupsito1.jpg
Anche in questo caso il riconoscimento del malware e' abbastanza basso e si notano alcuni conosciuti software Av che non rilevano la minaccia. Questo e' sempre dovuto al fatto che anche se i links compaiono con riferimenti 'datati' il sistema utilizzato permette sempre un aggiornamento dei codici pericolosi
La falsa pagina di filmati video e' hostata su
(img sul blog)
Gli esempi potrebbero proseguire con altre centinaia di links a medesimi forum presenti su pagine italiane e con data piu' recente rispetto ai links precedenti.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/main2linksobfu.jpg
Come si vede tutti questi links puntano ad un servizio gratuito di forum online.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/fakeforums/proboardofficial.jpg
Si tratta di ProBoards che, leggendo da Wikipedia, si apprende trattarsi di uno dei piu' grandi servizi online di forums con approssimativamente 22.200.000 di utenti e piu' di 2.600.000 forum online.
Tra l'altro registrare nuovo forum di discussione e' veramente facile e veloce consentendo con pochi click la creazione di un forum personale con una grandissima quantita' di opzioni sia di gestione che di personalizzazione delle pagine visualizzate.
A titolo di curiosita' ho provato a creare un forum di prova che potete trovare qui
http://edetools.proboards.com/index.cgi
e confrontando gli IP sia del forum creato che di uno dei centinaia di forum con link a malware abbiamo la riconferma della medesima 'provenienza' delle pagine visualizzate.
Ancora una volta si vede come, approfittando di servizi free di hosting o di gestione di forums, blogs ecc... chi gestisce la distribuzione di malware sfrutti queste possibilita' in maniera molto efficace.
Edgar :D
fonte: http://edetools.blogspot.com/