Edgar Bangkok
05-10-2008, 10:21
domenica 5 ottobre 2008
Raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)
Esaminiamo questa nuova distribuzione malware ottenuta tramite post costituiti da immagini e links testuali che si sta diffondendo dai primi giorni di ottobre.
Sicuramente si tratta di una azione curata in tutti i dettagli per tentare di far scaricare un falso setup di acitvex che dovrebbe abilitare la visione di un filmato porno scaricabile dai siti che vedremo.
Elemento comune a tutti i post inseriti in forums, anche italiani, sono alcune immagini jpg presenti su sito porno a pagamento.
(links sul blog)
Ecco in questa immagine una serie di sceenshot a confronto, tutti riguardanti il layout tipo del messaggio che vediamo presente su diversi forum italiani
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfumultiforum.jpg
L'utente che ha postato il messaggio risulta lo stesso per alcuni differenti forum e porta come data di creazione dell'account l'inizio del mese di ottobre
(dettagli account sul blog)
Una volta cliccato su uno dei link presenti, sia sulle immagini che su links di testo abbiamo, una serie di reindirizzamenti attraverso diversi siti, di cui vediamo un ettaglio in questo log
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/glog12008-10-05_142000.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/glog22008-10-05_143109.jpg
Il risultato finale e' il caricamento di una pagina, in maniera random, tra una di quelle che vediamo in questa gif animata
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/animatedsitesobflittleu.gif
mentre n alcuni casi viene caricata una pagina che rappresenta una sorta di indice generale del sito in questione.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfuallpornpage.jpg
Tutte le pagine presentano immagini cliccabili che propongono una nuova finestra contenente il falso player e l'avviso della necessita' di aggiornare un codec video per visualizzare il filmato, codec di cui viene proposto il download.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfuloadmalwa.jpg
Questo un dettaglio del codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfulayot.jpg
Il file eseguibile analizzato con VT dimostra la sua pericolosita', anche se come al solito, non sono molti i softwares AV che rilevano la minaccia.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/vt.jpg
Altri servizi online dimostrano differenti (non risposte) come ad esempio questo sito virus.org
(report sul blog)
dove il file risulta completamente 'pulito” anche per alcuni software che lo rilevano su VT. (versioni non aggiornate ecc..)
Il file malware stabilisce tra l'altro alcune connessioni con differenti indirizzi tra cui un sito di filmati porno a pagamento (qui vediamo un report di Threat Expert)
(dettagli report sul blog)
Le pagine che propongono i filmati cosi' come il falso codec sono ospitate su sito di hoster gia' noto per questo genere di contenuti
(whois sul blog)
ed anche se questo whois propone come UK la locazione geografica del whois vediamo che in realta' si dovrebbe trattare dell'ennesimo sito hostato su
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/asgraph.jpg
Edgar :D
fonte: http://edetools.blogspot.com/
Raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)
Esaminiamo questa nuova distribuzione malware ottenuta tramite post costituiti da immagini e links testuali che si sta diffondendo dai primi giorni di ottobre.
Sicuramente si tratta di una azione curata in tutti i dettagli per tentare di far scaricare un falso setup di acitvex che dovrebbe abilitare la visione di un filmato porno scaricabile dai siti che vedremo.
Elemento comune a tutti i post inseriti in forums, anche italiani, sono alcune immagini jpg presenti su sito porno a pagamento.
(links sul blog)
Ecco in questa immagine una serie di sceenshot a confronto, tutti riguardanti il layout tipo del messaggio che vediamo presente su diversi forum italiani
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfumultiforum.jpg
L'utente che ha postato il messaggio risulta lo stesso per alcuni differenti forum e porta come data di creazione dell'account l'inizio del mese di ottobre
(dettagli account sul blog)
Una volta cliccato su uno dei link presenti, sia sulle immagini che su links di testo abbiamo, una serie di reindirizzamenti attraverso diversi siti, di cui vediamo un ettaglio in questo log
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/glog12008-10-05_142000.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/glog22008-10-05_143109.jpg
Il risultato finale e' il caricamento di una pagina, in maniera random, tra una di quelle che vediamo in questa gif animata
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/animatedsitesobflittleu.gif
mentre n alcuni casi viene caricata una pagina che rappresenta una sorta di indice generale del sito in questione.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfuallpornpage.jpg
Tutte le pagine presentano immagini cliccabili che propongono una nuova finestra contenente il falso player e l'avviso della necessita' di aggiornare un codec video per visualizzare il filmato, codec di cui viene proposto il download.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfuloadmalwa.jpg
Questo un dettaglio del codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/obfulayot.jpg
Il file eseguibile analizzato con VT dimostra la sua pericolosita', anche se come al solito, non sono molti i softwares AV che rilevano la minaccia.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/vt.jpg
Altri servizi online dimostrano differenti (non risposte) come ad esempio questo sito virus.org
(report sul blog)
dove il file risulta completamente 'pulito” anche per alcuni software che lo rilevano su VT. (versioni non aggiornate ecc..)
Il file malware stabilisce tra l'altro alcune connessioni con differenti indirizzi tra cui un sito di filmati porno a pagamento (qui vediamo un report di Threat Expert)
(dettagli report sul blog)
Le pagine che propongono i filmati cosi' come il falso codec sono ospitate su sito di hoster gia' noto per questo genere di contenuti
(whois sul blog)
ed anche se questo whois propone come UK la locazione geografica del whois vediamo che in realta' si dovrebbe trattare dell'ennesimo sito hostato su
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/zlb%20%20ottobre%20siti/asgraph.jpg
Edgar :D
fonte: http://edetools.blogspot.com/