Edgar Bangkok
24-12-2008, 21:28
24 dicembre 2008
(postato dall'Italia)
Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti anche .IT
Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana
(img sul blog)
che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/arredaobfusco2008-12-24_190746.png
anche su pagine diverse dalla homepage
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/altrapagina.png
e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.
(img sul blog)
Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/javas.png
che deoffuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/malzilla.png
punta a falsi scanners online con relativo link automatico a files eseguibili di install
(img sul blog)
I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/vtot.png
Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/unioffuscato.png
presenta centinaia di links nascosti che a loro volta puntano a pagine come questa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/universit.png
Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/scanner2008-12-24_182418.png
In ogni caso si tratta sempre di links che, come si vede da un log
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/logs.png
coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install di cui viene proposto un download automatico con notevole insistenza
(img sul blog)
L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....
Edgar :D
fonte: http://edetools.blogspot.com/
(postato dall'Italia)
Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti anche .IT
Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana
(img sul blog)
che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/arredaobfusco2008-12-24_190746.png
anche su pagine diverse dalla homepage
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/altrapagina.png
e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.
(img sul blog)
Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/javas.png
che deoffuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/malzilla.png
punta a falsi scanners online con relativo link automatico a files eseguibili di install
(img sul blog)
I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/vtot.png
Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/unioffuscato.png
presenta centinaia di links nascosti che a loro volta puntano a pagine come questa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/universit.png
Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/scanner2008-12-24_182418.png
In ogni caso si tratta sempre di links che, come si vede da un log
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/nuovi%20av%202412/logs.png
coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install di cui viene proposto un download automatico con notevole insistenza
(img sul blog)
L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....
Edgar :D
fonte: http://edetools.blogspot.com/