Edgar Bangkok
08-03-2009, 05:14
domenica 8 marzo 2009
Ricordo come sempre che i vari indirizzi web elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.
Sempre presenti in rete pagine nascoste su siti .IT o falsi post su forum .IT, che distribuiscono links a malware sotto forma di falsi player, codec ecc...
In molti casi la distribuzione di malware viene alternata con links a falsi software AV e sovente i files eseguibili sono scaricati sul pc solo se gli IP di provenienza appartengono a determinati ranges (es. europei)
Ecco alcuni aggiornati esempi, dove si nota in parte dei siti linkati la presenza di un file malware con origine comune.
Questa una pagina nascosta all'interno di sito italiano
(img sul blog)
che come si vede include un codice offuscato
(img sul blog)
che punta sia a pagina con falso player
(img sul blog)
e relativo file malware ( server che verifica IP di provenienza del visitatore)
ma anche a falso antivirus scarsamente riconosciuto
(img sul blog)
Questo invece un forum con post aggiornati alla data odierna
(img sul blog)
che puntano, oltre che a pagine di pharmacy, anche ad alcuni 'soliti' cloni di youtube
(img sul blog)
con falso flash player malware
(img sul blog)
Abbiamo anche alcune pagine , con layout simile ma questa volta con differente logo al posto del consueto porntube:
(img sul blog)
che propongono questo falso codec
(img sul blog)
In ogni caso sembra che parte dei files pericolosi abbiano origine comune e vengano ostati su server olandese , come si nota da un report relativo alla provenienza degli eseguibili.
(img sul blog)
Inoltre come accade su questi links aggiornati in tempo reale, i contenuti pericolosi sono pochissimo rilevati dai piu utilizzati software AV presenti su report Virus Total, tenendo sempre in considerazione i limiti sul riconoscmento, che potrebbero intervenire nell'uso di uno scanner online on-demand al riguardo dei risultati ottenuti.
Edgar :D
fonte: http://edetools.blogspot.com/2009/03/aggiornamento-8-marzo-malware-linkato.html
Ricordo come sempre che i vari indirizzi web elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.
Sempre presenti in rete pagine nascoste su siti .IT o falsi post su forum .IT, che distribuiscono links a malware sotto forma di falsi player, codec ecc...
In molti casi la distribuzione di malware viene alternata con links a falsi software AV e sovente i files eseguibili sono scaricati sul pc solo se gli IP di provenienza appartengono a determinati ranges (es. europei)
Ecco alcuni aggiornati esempi, dove si nota in parte dei siti linkati la presenza di un file malware con origine comune.
Questa una pagina nascosta all'interno di sito italiano
(img sul blog)
che come si vede include un codice offuscato
(img sul blog)
che punta sia a pagina con falso player
(img sul blog)
e relativo file malware ( server che verifica IP di provenienza del visitatore)
ma anche a falso antivirus scarsamente riconosciuto
(img sul blog)
Questo invece un forum con post aggiornati alla data odierna
(img sul blog)
che puntano, oltre che a pagine di pharmacy, anche ad alcuni 'soliti' cloni di youtube
(img sul blog)
con falso flash player malware
(img sul blog)
Abbiamo anche alcune pagine , con layout simile ma questa volta con differente logo al posto del consueto porntube:
(img sul blog)
che propongono questo falso codec
(img sul blog)
In ogni caso sembra che parte dei files pericolosi abbiano origine comune e vengano ostati su server olandese , come si nota da un report relativo alla provenienza degli eseguibili.
(img sul blog)
Inoltre come accade su questi links aggiornati in tempo reale, i contenuti pericolosi sono pochissimo rilevati dai piu utilizzati software AV presenti su report Virus Total, tenendo sempre in considerazione i limiti sul riconoscmento, che potrebbero intervenire nell'uso di uno scanner online on-demand al riguardo dei risultati ottenuti.
Edgar :D
fonte: http://edetools.blogspot.com/2009/03/aggiornamento-8-marzo-malware-linkato.html