[NEWS] Esempio di Forum

Edgar Bangkok · 16-08-2008, 18:12

sabato 16 agosto 2008

Si tratta, come riporta il titolo del post, di un forum su sito .IT messo online per mostrare le "funzionalita'' di questo tipo di applicazione web a chi aveva probabilmente ordinato la creazione del sito.

Anche se e' rimasto solo un 'esempio'(di forum) per chi avrebbe dovuto utilizzarlo , cio' non toglie che, essendo a tutti gli effetti online e funzionante, adesso sia diventato un notevole 'esempio' al riguardo del problema ormai dilagante sui forum, di falsi post contenti testi, immagini e links allo scopo di diffondere ogni sorta di malware, software fasullo (falsi antivirus) e link a siti di dubbia affidabilita'.

Infatti e' sempre piu' facile trovare in rete forum che sono diventati solo collettori di links pericolosi specialmente nel caso di siti pubblici o privati che, per vari motivi, non sono amministrati correttamente da chi li ha creati o da chi li utilizza per la propria attivita'.

Nel caso che vedremo adesso ,abbiamo la creazione, in maniera continua, di un nuovo post o una replica a post precedente con links a malware o falsi AV ogni circa 3 minuti, post che si va ad aggiungere alle migliaia di messaggi ormai presenti sul sito.
Questo, mette a disposizione per chi si interessa a pagine malware o falsi siti AV una fonte aggiornata di links visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i posts.

Questa la pagina principale che da accesso al forum di ”prova” che e' costituito da unico argomento e cioe' “Esempio di forum” ma con migliaia di posts
(img sul blog)
Visualizzando l'elenco messaggi e relativo time appare evidente la rapidita' con la quale ne vengono aggiunti di nuovi.
(img sul blog)
Considerando che nei post appare oltre alla parte contenete i links anche un testo contenente parole o frasi che ricordano i contenuti del post lo scopo finale di questo flusso continuo di messaggi fasulli e' chiaramente quello di avere il massimo numero di links ai primi posti di una ricerca in rete tramite motori di ricerca.
(img sul blog)
Vediamo ora alcuni esempi di post tratti dagli ultimi piu' recenti presenti nel forum

Questo un post che sfrutta sia link di testo ma anche link inseriti in immagini.
(img sul blog)
e questa la pagina intermedia che appare cliccando su una delle immagini
(img sul blog)
La pagina e' una consueta 'galleria' di foto porno con links a falso aggiornamento di player Flash anche se poi il nome del file eseguibile da scaricare viene proposto come codec video.

Questo un whois relativo al serve che hosta il file proposto per il download
(img sul blog)
Come al solito il file eseguibile malware e' pochissimo riconosciuto dai softwares AV
(img sul blog)
Un secondo esempio mostra un differente problema al falso player video proposto
(img sul blog)
in questo caso un activex da scaricare per visualizzare correttamente il consueto filmato porno
(img sul blog)
In questo post invece il link testuale
(img sul blog)
punta a pagina con javascript offuscato in maniera abbastanza semplice
(img sul blog)
che a sua volta linka a pagina con malware di cui vediamo un report VT
(img sul blog)
e con whois
(img sul blog)
Come si vede da questi primi casi esaminati la risposta dei diversi software AV e molto bassa in quanto si tratta di pagine aggiornate come contenuto malevolo frutto dei links attuali contenuti nei posts

Questo un ultimo esempio interessante in quanto a fronte di un unico link iniziale presenta differenti risultati a seconda se si visita il sito proposto in tempi diversi.
Esiste in questo caso un sito intermedio che si occupa di variare il link finale proposto.
Ecco il post costituito da un falso player video (immagine gif animata) e altre immagini jpg con stesso link
(img sul blog)
Qui vediamo la pagina di falso antivirus che viene caricata cliccando sul falso player presente nel post
(img sul blog)
Sempre cliccando sul link presente puo' capitare di invece questa pagina con un'altra versione di aggiornamento di falso player Flash
(img sul blog)
Un'altra pagina collegata al medesimo link visto ora e' invece questa che propone non solo un falso player malware ma anche alcuni iframes
(img sul blog)
Come si vede, dal codice presente nei diversi iframes , la natura dei contenuti e' ben evidente gia' dai nomi con cui vengono chiamate le diverse funzioni che li costituiscono
(img sul blog)
Si tratta infatti di exploits di vario genere personalizzati anche a seconda della versione del linguaggio utilizzato dal sistema operativo Windows

Un whois della pagina con iframes punta a
(img sul blog)
Anche se come questo 'Esempio di Forum" ne esistono online moltissimi altri, quello visto ora, rimane quindi sicuramente una fonte aggiornata di tutto quello che e' collegato a falsi AV, falsi players video e siti con malware visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i links presenti nei post.

Edgar

fonte: http://edetools.blogspot.com/

16-08-2008, 18:12	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Esempio di Forum sabato 16 agosto 2008 Si tratta, come riporta il titolo del post, di un forum su sito .IT messo online per mostrare le "funzionalita'' di questo tipo di applicazione web a chi aveva probabilmente ordinato la creazione del sito. Anche se e' rimasto solo un 'esempio'(di forum) per chi avrebbe dovuto utilizzarlo , cio' non toglie che, essendo a tutti gli effetti online e funzionante, adesso sia diventato un notevole 'esempio' al riguardo del problema ormai dilagante sui forum, di falsi post contenti testi, immagini e links allo scopo di diffondere ogni sorta di malware, software fasullo (falsi antivirus) e link a siti di dubbia affidabilita'. Infatti e' sempre piu' facile trovare in rete forum che sono diventati solo collettori di links pericolosi specialmente nel caso di siti pubblici o privati che, per vari motivi, non sono amministrati correttamente da chi li ha creati o da chi li utilizza per la propria attivita'. Nel caso che vedremo adesso ,abbiamo la creazione, in maniera continua, di un nuovo post o una replica a post precedente con links a malware o falsi AV ogni circa 3 minuti, post che si va ad aggiungere alle migliaia di messaggi ormai presenti sul sito. Questo, mette a disposizione per chi si interessa a pagine malware o falsi siti AV una fonte aggiornata di links visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i posts. Questa la pagina principale che da accesso al forum di ”prova” che e' costituito da unico argomento e cioe' “Esempio di forum” ma con migliaia di posts (img sul blog) Visualizzando l'elenco messaggi e relativo time appare evidente la rapidita' con la quale ne vengono aggiunti di nuovi. (img sul blog) Considerando che nei post appare oltre alla parte contenete i links anche un testo contenente parole o frasi che ricordano i contenuti del post lo scopo finale di questo flusso continuo di messaggi fasulli e' chiaramente quello di avere il massimo numero di links ai primi posti di una ricerca in rete tramite motori di ricerca. (img sul blog) Vediamo ora alcuni esempi di post tratti dagli ultimi piu' recenti presenti nel forum Questo un post che sfrutta sia link di testo ma anche link inseriti in immagini. (img sul blog) e questa la pagina intermedia che appare cliccando su una delle immagini (img sul blog) La pagina e' una consueta 'galleria' di foto porno con links a falso aggiornamento di player Flash anche se poi il nome del file eseguibile da scaricare viene proposto come codec video. Questo un whois relativo al serve che hosta il file proposto per il download (img sul blog) Come al solito il file eseguibile malware e' pochissimo riconosciuto dai softwares AV (img sul blog) Un secondo esempio mostra un differente problema al falso player video proposto (img sul blog) in questo caso un activex da scaricare per visualizzare correttamente il consueto filmato porno (img sul blog) In questo post invece il link testuale (img sul blog) punta a pagina con javascript offuscato in maniera abbastanza semplice (img sul blog) che a sua volta linka a pagina con malware di cui vediamo un report VT (img sul blog) e con whois (img sul blog) Come si vede da questi primi casi esaminati la risposta dei diversi software AV e molto bassa in quanto si tratta di pagine aggiornate come contenuto malevolo frutto dei links attuali contenuti nei posts Questo un ultimo esempio interessante in quanto a fronte di un unico link iniziale presenta differenti risultati a seconda se si visita il sito proposto in tempi diversi. Esiste in questo caso un sito intermedio che si occupa di variare il link finale proposto. Ecco il post costituito da un falso player video (immagine gif animata) e altre immagini jpg con stesso link (img sul blog) Qui vediamo la pagina di falso antivirus che viene caricata cliccando sul falso player presente nel post (img sul blog) Sempre cliccando sul link presente puo' capitare di invece questa pagina con un'altra versione di aggiornamento di falso player Flash (img sul blog) Un'altra pagina collegata al medesimo link visto ora e' invece questa che propone non solo un falso player malware ma anche alcuni iframes (img sul blog) Come si vede, dal codice presente nei diversi iframes , la natura dei contenuti e' ben evidente gia' dai nomi con cui vengono chiamate le diverse funzioni che li costituiscono (img sul blog) Si tratta infatti di exploits di vario genere personalizzati anche a seconda della versione del linguaggio utilizzato dal sistema operativo Windows Un whois della pagina con iframes punta a (img sul blog) Anche se come questo 'Esempio di Forum" ne esistono online moltissimi altri, quello visto ora, rimane quindi sicuramente una fonte aggiornata di tutto quello che e' collegato a falsi AV, falsi players video e siti con malware visti i veramente ridotti intervalli di tempo con cui vengono aggiornati i links presenti nei post. Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email