Edgar Bangkok
31-08-2009, 04:33
luned́ 31 agosto 2009
AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta comunque di eseguibli attivi e poco riconosciuti.
Sembra che la tendenza attuale per distribuire falsi AV o comunque eseguibili pericolosi sia l'utilizzo di pagine web con un layout che ci ricorda le pagine di un blog, pagine che incluse in normali siti, vengono indicizzate dai motori di ricerca e proposte ai primi posti dei risultati.
Attualmente il numero di siti IT coinvolti e' notevole ed in costante aumento negli ultimi giorni.
Vediamo alcuni casi aggiornati ad oggi:
Questa la pagina di falso blog inclusa all'interno di numerosi siti anche .IT, come ad esempio in questo appartenente ad un 'Ordine di Avvocati'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1avvocatiblog.jpg
Le pagine incluse, se gli script java sono attivi , propongono dopo il caricamento una scelta , comunque irrilevante, in quanto in entrambi i casi (enter o exit)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1avvocatiformredir.jpg
si viene rediretti su sito clone di Youtube
(img sul blog)
con whois che punta , cosa comune in questi casi, a server locato in Est Europa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1whois.jpg
Cliccando su ogni falso filmato presente viene proposto il download di un setup di flash palyer 10 necessario alla visione dei contenuti video ,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1fakepalyersetup.jpg
che VT vede molto poco riconosciuto dai principali softwares AV in commercio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1vt.jpg
I sito colpiti con questa inclusione che varia continuamente, sono decine , come si vede ad esempio da questo differente layout di falso blog.
Sempre di falso blog si tratta per queste pagine incluse in siti IT che ricorcano anche questa volta la struttura di un blog
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavblogredir2009-08-31_090954.jpg
e che in automatico redirigono su questo falso scanner AV gia' visto in passato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavdablog.jpg
con riconoscimento quasi nullo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavdablogvt.jpg
Per quanto si riferisce ai falsi blog inclusi su siti IT, evidenziati in questo post del 28 agosto, abbiamo un continuo aggiornamento di pagine e di siti colpiti, come si vede da una ricerca in rete (time evidenziato in giallo)
(risultati ricerca sul blog)
Sempre di falsi layout di blog anche per queste pagine linkate da forum IT che presenta recenti inserimenti di falsi post
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/4fakeblogforum.jpg
che tramite questa pagina di falso blog,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/4fakeblogdaforumit.jpg
linkano a fake scanner AV che distribuisce il file eseguibile visto da VT come
(img sul blog)
In tutti i casi visti ora, come sempre, non esistono problemi immediati per chi visitasse i siti colpiti, in quanto le pagine incluse (i falsi blog) sono invisibili al visitatore ma vi sono comunque alcune conseguenze negative per il sito coinvolto.
Intanto abbiamo l'evidenza di una probabile vulnerabilita, che potrebbe essere sfruttata per colpire in maniera diretta i visitatori del sito; inoltre la presenza di queste pagine crea sicuramente un traffico non voluto sul server che ospita il sito compromesso, ed anche, e questo e' lo scopo principale di chi effettua questi attacchi, il sito comparira' in rete come risultato di ricerche a carattere porno, di pharmacy ecc.. cosa che comuqnue dal punto di vista dell'immagine del sito non e' certamente il massimo.
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/distribuzione-falsi-antivirus-e-malware.html
AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta comunque di eseguibli attivi e poco riconosciuti.
Sembra che la tendenza attuale per distribuire falsi AV o comunque eseguibili pericolosi sia l'utilizzo di pagine web con un layout che ci ricorda le pagine di un blog, pagine che incluse in normali siti, vengono indicizzate dai motori di ricerca e proposte ai primi posti dei risultati.
Attualmente il numero di siti IT coinvolti e' notevole ed in costante aumento negli ultimi giorni.
Vediamo alcuni casi aggiornati ad oggi:
Questa la pagina di falso blog inclusa all'interno di numerosi siti anche .IT, come ad esempio in questo appartenente ad un 'Ordine di Avvocati'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1avvocatiblog.jpg
Le pagine incluse, se gli script java sono attivi , propongono dopo il caricamento una scelta , comunque irrilevante, in quanto in entrambi i casi (enter o exit)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1avvocatiformredir.jpg
si viene rediretti su sito clone di Youtube
(img sul blog)
con whois che punta , cosa comune in questi casi, a server locato in Est Europa
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1whois.jpg
Cliccando su ogni falso filmato presente viene proposto il download di un setup di flash palyer 10 necessario alla visione dei contenuti video ,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1fakepalyersetup.jpg
che VT vede molto poco riconosciuto dai principali softwares AV in commercio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/1vt.jpg
I sito colpiti con questa inclusione che varia continuamente, sono decine , come si vede ad esempio da questo differente layout di falso blog.
Sempre di falso blog si tratta per queste pagine incluse in siti IT che ricorcano anche questa volta la struttura di un blog
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavblogredir2009-08-31_090954.jpg
e che in automatico redirigono su questo falso scanner AV gia' visto in passato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavdablog.jpg
con riconoscimento quasi nullo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/2fakeavdablogvt.jpg
Per quanto si riferisce ai falsi blog inclusi su siti IT, evidenziati in questo post del 28 agosto, abbiamo un continuo aggiornamento di pagine e di siti colpiti, come si vede da una ricerca in rete (time evidenziato in giallo)
(risultati ricerca sul blog)
Sempre di falsi layout di blog anche per queste pagine linkate da forum IT che presenta recenti inserimenti di falsi post
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/4fakeblogforum.jpg
che tramite questa pagina di falso blog,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/malware%20fake%20av%2031%208%2009/4fakeblogdaforumit.jpg
linkano a fake scanner AV che distribuisce il file eseguibile visto da VT come
(img sul blog)
In tutti i casi visti ora, come sempre, non esistono problemi immediati per chi visitasse i siti colpiti, in quanto le pagine incluse (i falsi blog) sono invisibili al visitatore ma vi sono comunque alcune conseguenze negative per il sito coinvolto.
Intanto abbiamo l'evidenza di una probabile vulnerabilita, che potrebbe essere sfruttata per colpire in maniera diretta i visitatori del sito; inoltre la presenza di queste pagine crea sicuramente un traffico non voluto sul server che ospita il sito compromesso, ed anche, e questo e' lo scopo principale di chi effettua questi attacchi, il sito comparira' in rete come risultato di ricerche a carattere porno, di pharmacy ecc.. cosa che comuqnue dal punto di vista dell'immagine del sito non e' certamente il massimo.
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/distribuzione-falsi-antivirus-e-malware.html