Edgar Bangkok
08-09-2009, 10:54
marted́ 8 settembre 2009
AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che la presenza di scripts offuscati, nonche' di precedenti avvisi Google, potrebbe indicare la possibile pericolosita' delle pagine.
Sono centinaia ed a ogni nuova ricerca in rete sembra che aumentino di numero i siti anche in italiano, ed hostati su
(whois sul blog)
(o comunque su IP riconducibili a questo hoster inglese) che mostrano incluse al loro interno pagine che ricordano un layout di blog.
Una ricerca attuale evidenzia che da pochi minuti il motore di ricerca ha indicizzato alcune nuove pagine,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/lastpub.jpg
e con data di pubblicazione attuale come si nota da questo screenshot
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/published.jpg
Ecco alcune delle pagine il cui layout e' simile a blogs e che sono incluse nei siti all'interno di folders sempre con il medesimo nome e precisamente /bmblog/
(img sul blog)
(img sul blog)
(img sul blog)
(img sul blog)
Una analisi del codice mostra la presenza di due script
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/javas.jpg
di cui uno offuscato.
Al momento, sembrerebbe che una volta aperta nel browser, la pagina del blog fasullo si limiti alla sola connessione a Statcounter, come si nota da un report Fiddler
(img sul blog)
oltre che a 'recuperare' le immagini presenti sulla pagina attraverso links a diversi siti.
Una analisi dello script offuscato con VT porta a questi risultati
(img sul blog)
che comunque non sono significativi in quanto solo avvisi generici derivati dalla presenza dello script con codice offuscato
Anche una analisi con Wepawet ritorna i medesimi risultati senza evidenziare la natura dello script offuscato
(img sul blog)
Alcuni dei siti trovati presentano comunque l'avviso di Google circa la presenza di links a malware o falsi AV come in questo caso
(img sul blog)
che sembrerebbe comunque riferito a problemi passati e non attuali.
Per quanto riguarda i links presenti sulla pagina del falso blog abbiamo decine di collegamenti ad altre pagine simili ed alcuni links a pagine con templates di blog.
Bmblog (la decodifica dello script offuscato)
Nel precedente post eravamo rimasti con l'interrogativo al riguardo del file javascript offuscato linkato dai falsi blog che ha richiesto una decodifica piu' laboriosa di quanto succede con i normali javascript offuscati che facilmente, ad esempio con l'uso di Malzilla, possono essere decodificati.(ringrazio SysAdMini di www.malwaredomainlist.com per l'utile suggerimento ad utilizzare Jsunpack)
Ecco la decodifica di parte del file offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/decoded.jpg
che, tramite l'uso anche di alcune delle variabili presenti sul file java offuscato originale, genera quando viene eseguito questo indirizzo di sito web.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/urlfinaldecoded.jpg
Dopo aver attivato una connessione proxy, per simulare un IP diverso da quello Thai (es USA nel caso visto ora), se carichiamo il link nel browser abbiamo l'apertura di questa pagina (dal layout molto comune) che simula l'ennesimo falso scanner AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/fakescannerfinalredir.jpg
hostato su due diversi indirizzi IP
(whois sul blog)
Una analisi VT dimostra che il file linkato e', come ormai succede spesso, poco riconosciuto.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/vtfakeav.jpg
Abbiamo quindi la conferma che le centinaia di false pagine simili a blog incluse sui siti IT visti nel precedente post hanno lo scopo di proporre falsi scanner AV, confermando quindi la tendenza ad una diffusione sempre in rete piu elevata di false applicazioni antivirus.
Una nuova ricerca dimostra inoltre come anche negli ultimi minuti l'inclusione di queste false pagine blog sia estremamente attiva, e chiaramente non solo per siti .IT,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/googlecomsiti.jpg
coinvolgendo comunque, almeno per ora, molti siti hostati su servers UK.
Edgar :D
fonti:
http://edetools.blogspot.com/2009/09/bmblog.html
http://edetools.blogspot.com/2009/09/bmblog-la-decodifica-dello-script.html
AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che la presenza di scripts offuscati, nonche' di precedenti avvisi Google, potrebbe indicare la possibile pericolosita' delle pagine.
Sono centinaia ed a ogni nuova ricerca in rete sembra che aumentino di numero i siti anche in italiano, ed hostati su
(whois sul blog)
(o comunque su IP riconducibili a questo hoster inglese) che mostrano incluse al loro interno pagine che ricordano un layout di blog.
Una ricerca attuale evidenzia che da pochi minuti il motore di ricerca ha indicizzato alcune nuove pagine,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/lastpub.jpg
e con data di pubblicazione attuale come si nota da questo screenshot
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/published.jpg
Ecco alcune delle pagine il cui layout e' simile a blogs e che sono incluse nei siti all'interno di folders sempre con il medesimo nome e precisamente /bmblog/
(img sul blog)
(img sul blog)
(img sul blog)
(img sul blog)
Una analisi del codice mostra la presenza di due script
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/javas.jpg
di cui uno offuscato.
Al momento, sembrerebbe che una volta aperta nel browser, la pagina del blog fasullo si limiti alla sola connessione a Statcounter, come si nota da un report Fiddler
(img sul blog)
oltre che a 'recuperare' le immagini presenti sulla pagina attraverso links a diversi siti.
Una analisi dello script offuscato con VT porta a questi risultati
(img sul blog)
che comunque non sono significativi in quanto solo avvisi generici derivati dalla presenza dello script con codice offuscato
Anche una analisi con Wepawet ritorna i medesimi risultati senza evidenziare la natura dello script offuscato
(img sul blog)
Alcuni dei siti trovati presentano comunque l'avviso di Google circa la presenza di links a malware o falsi AV come in questo caso
(img sul blog)
che sembrerebbe comunque riferito a problemi passati e non attuali.
Per quanto riguarda i links presenti sulla pagina del falso blog abbiamo decine di collegamenti ad altre pagine simili ed alcuni links a pagine con templates di blog.
Bmblog (la decodifica dello script offuscato)
Nel precedente post eravamo rimasti con l'interrogativo al riguardo del file javascript offuscato linkato dai falsi blog che ha richiesto una decodifica piu' laboriosa di quanto succede con i normali javascript offuscati che facilmente, ad esempio con l'uso di Malzilla, possono essere decodificati.(ringrazio SysAdMini di www.malwaredomainlist.com per l'utile suggerimento ad utilizzare Jsunpack)
Ecco la decodifica di parte del file offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/decoded.jpg
che, tramite l'uso anche di alcune delle variabili presenti sul file java offuscato originale, genera quando viene eseguito questo indirizzo di sito web.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/urlfinaldecoded.jpg
Dopo aver attivato una connessione proxy, per simulare un IP diverso da quello Thai (es USA nel caso visto ora), se carichiamo il link nel browser abbiamo l'apertura di questa pagina (dal layout molto comune) che simula l'ennesimo falso scanner AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/fakescannerfinalredir.jpg
hostato su due diversi indirizzi IP
(whois sul blog)
Una analisi VT dimostra che il file linkato e', come ormai succede spesso, poco riconosciuto.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/vtfakeav.jpg
Abbiamo quindi la conferma che le centinaia di false pagine simili a blog incluse sui siti IT visti nel precedente post hanno lo scopo di proporre falsi scanner AV, confermando quindi la tendenza ad una diffusione sempre in rete piu elevata di false applicazioni antivirus.
Una nuova ricerca dimostra inoltre come anche negli ultimi minuti l'inclusione di queste false pagine blog sia estremamente attiva, e chiaramente non solo per siti .IT,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/bmblog/googlecomsiti.jpg
coinvolgendo comunque, almeno per ora, molti siti hostati su servers UK.
Edgar :D
fonti:
http://edetools.blogspot.com/2009/09/bmblog.html
http://edetools.blogspot.com/2009/09/bmblog-la-decodifica-dello-script.html