Edgar Bangkok
23-08-2009, 08:35
domenica 23 agosto 2009
NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di redirects a fake AV che potrebbe passare, in qualsiasi momento, dal proporre falsi AV a qualcosa di piu' pericoloso (exploit, ecc....)
Inoltre come vedremo nell'analisi dell'eseguibile una volta installato sul PC il falso antivirus crea numerosi problemi.
Una odierna ricerca in rete evidenzia un buon numero di siti IT che ospitano al loro interno links a falso online scanner AV.
Ecco i risultati che presentano per diversi siti .IT , evidentemente compromessi,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/varisiti.jpg
molti links per ogni sito trovato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/examplericonesite.jpg
che puntano a questo javascript debolmente offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/malzilla.jpg
che sua volta redirige su questo falso scanner online AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/fakescanner2009-08-22_183313.jpg
con whois:
(img sul blog)
Sempre sul medesimo IP abbiamo una serie di pagine, tutte simili
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/listwhoissameip.jpg
che propongono lo stesso scanner online visto sopra.
Il riconoscimento del file eseguibile e', come succede in questi casi , quasi nullo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/VT.jpg
mentre il falso setup(dot)exe e' ospitato su server con whois cinese
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/fileipdownload.jpg
Anche questa volta, sembra che per IP ripetuti o comunque appartenenti ad alcuni ranges si venga direttamente rediretti sulla pagina di Google senza che venga proposto il falso scanner.
Per l'analisi dell'eseguibile scaricato setup(dot)exe rimando al successivo post (http://edetools.blogspot.com/2009/08/privacy-center-come-setupdotexe.html).
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/link-falsi-av-tramite-siti-it.html
NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di redirects a fake AV che potrebbe passare, in qualsiasi momento, dal proporre falsi AV a qualcosa di piu' pericoloso (exploit, ecc....)
Inoltre come vedremo nell'analisi dell'eseguibile una volta installato sul PC il falso antivirus crea numerosi problemi.
Una odierna ricerca in rete evidenzia un buon numero di siti IT che ospitano al loro interno links a falso online scanner AV.
Ecco i risultati che presentano per diversi siti .IT , evidentemente compromessi,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/varisiti.jpg
molti links per ogni sito trovato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/examplericonesite.jpg
che puntano a questo javascript debolmente offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/malzilla.jpg
che sua volta redirige su questo falso scanner online AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/fakescanner2009-08-22_183313.jpg
con whois:
(img sul blog)
Sempre sul medesimo IP abbiamo una serie di pagine, tutte simili
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/listwhoissameip.jpg
che propongono lo stesso scanner online visto sopra.
Il riconoscimento del file eseguibile e', come succede in questi casi , quasi nullo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/VT.jpg
mentre il falso setup(dot)exe e' ospitato su server con whois cinese
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/fileipdownload.jpg
Anche questa volta, sembra che per IP ripetuti o comunque appartenenti ad alcuni ranges si venga direttamente rediretti sulla pagina di Google senza che venga proposto il falso scanner.
Per l'analisi dell'eseguibile scaricato setup(dot)exe rimando al successivo post (http://edetools.blogspot.com/2009/08/privacy-center-come-setupdotexe.html).
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/link-falsi-av-tramite-siti-it.html