Edgar Bangkok
21-03-2009, 15:36
sabato 21 marzo 2009
Ancora una volta McAfee SiteAdvisor cade sulla verifica della pericolosita' di una pagina web.
Nulla di nuovo, se non fosse che la pagina in questione, e' una di quelle proposte dalla Botnet Waledac, ormai abbastanza note per i contenuti pericolosi sotto forma di files eseguibili.
Ecco come appare una analisi SiteAdvisor di un dominio tra quelli noti appartenenti alla botnet Waledac
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/mcafee.jpg
L'avviso si limita ad indicare che la pagina e' diffusa in rete attraverso l'invio di mails di spam, senza pero' evidenziare il pericolo nascosto nei downloads collegati al falso video di news Reuters.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/mainpage2009-03-21_175339.jpg
Stranamente , al momento di scrivere il post, il software AV McAfee sembra evidenziare il pericolo, come si nota da una scansione VT, ma evidentemente le continue variazioni del codice malevolo, non hanno permesso a SiteAdvisor di rilevare il problema, al momento dell'analisi del sito.
C'e' comunque da notare che nella sua semplicita' il layout della pagina Waledac dell'ultimo 'tema' proposto e precisamente le news Reuters, anche se da un lato ne limita l'efficacia della distribuzione del malware (bisogna comunque eseguire il download e lanciare il file exe pericoloso) , dall'altro rende i contenuti (links) non facilmente individuabili da siti che propongono la scansione online di codici di pagine web per verificarne la sicurezza.
Due esempi di questo sono sia il sito Wepawet (Department of Computer Science dell'University of California, Santa Barbara ) che propone una analisi di eventuali codici pericolosi (java, flash, PDF ...) contenuti nel sito da analizzare.
In questo caso (pagina waledac) il risultato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/wepaweb.jpg
e' l'assenza di problemi sulla pagina della botnet
Stesso discorso vale anche per il MELANI Website - Checktool (disponibile in italiano) che esegue una verifica su eventuali javascripts presenti nel codice della pagina analizzata
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/melani.jpg
e che chiaramente anche in questo caso non rileva pericoli di sorta.
Cosa diversa per Anubis (International Secure Systems Lab Vienna University of Technology, Eurecom France, UC Santa Barbara ) che non si limita ad analizzare la pagina ma esegue anche eventuali files linkati
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/anubis.jpg
ottenendo un risultato che propone avvisi sul pericolo contenuto sul sito esaminato.
Anubis, in effetti, e' nato come sito di analisi di files eseguibili, e l'opzione verifica url e' stata aggiunta successivamente.
Edgar :D
fonte: http://edetools.blogspot.com/2009/03/waledac-sites-e-verifiche-online.html
Ancora una volta McAfee SiteAdvisor cade sulla verifica della pericolosita' di una pagina web.
Nulla di nuovo, se non fosse che la pagina in questione, e' una di quelle proposte dalla Botnet Waledac, ormai abbastanza note per i contenuti pericolosi sotto forma di files eseguibili.
Ecco come appare una analisi SiteAdvisor di un dominio tra quelli noti appartenenti alla botnet Waledac
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/mcafee.jpg
L'avviso si limita ad indicare che la pagina e' diffusa in rete attraverso l'invio di mails di spam, senza pero' evidenziare il pericolo nascosto nei downloads collegati al falso video di news Reuters.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/mainpage2009-03-21_175339.jpg
Stranamente , al momento di scrivere il post, il software AV McAfee sembra evidenziare il pericolo, come si nota da una scansione VT, ma evidentemente le continue variazioni del codice malevolo, non hanno permesso a SiteAdvisor di rilevare il problema, al momento dell'analisi del sito.
C'e' comunque da notare che nella sua semplicita' il layout della pagina Waledac dell'ultimo 'tema' proposto e precisamente le news Reuters, anche se da un lato ne limita l'efficacia della distribuzione del malware (bisogna comunque eseguire il download e lanciare il file exe pericoloso) , dall'altro rende i contenuti (links) non facilmente individuabili da siti che propongono la scansione online di codici di pagine web per verificarne la sicurezza.
Due esempi di questo sono sia il sito Wepawet (Department of Computer Science dell'University of California, Santa Barbara ) che propone una analisi di eventuali codici pericolosi (java, flash, PDF ...) contenuti nel sito da analizzare.
In questo caso (pagina waledac) il risultato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/wepaweb.jpg
e' l'assenza di problemi sulla pagina della botnet
Stesso discorso vale anche per il MELANI Website - Checktool (disponibile in italiano) che esegue una verifica su eventuali javascripts presenti nel codice della pagina analizzata
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/melani.jpg
e che chiaramente anche in questo caso non rileva pericoli di sorta.
Cosa diversa per Anubis (International Secure Systems Lab Vienna University of Technology, Eurecom France, UC Santa Barbara ) che non si limita ad analizzare la pagina ma esegue anche eventuali files linkati
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/anubis.jpg
ottenendo un risultato che propone avvisi sul pericolo contenuto sul sito esaminato.
Anubis, in effetti, e' nato come sito di analisi di files eseguibili, e l'opzione verifica url e' stata aggiunta successivamente.
Edgar :D
fonte: http://edetools.blogspot.com/2009/03/waledac-sites-e-verifiche-online.html