|
|||||||
|
|
|
 |
|
|
Strumenti |
03-06-2009, 04:58
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Falsi player video (aggiornamento 03/06)
mercoledì 3 giugno 2009
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Sempre molto diffusi in rete i siti con layout simile a YouTube che propongono falsi setup di player video, falsi plugin o installers di Flash Player tutti rigorosamente eseguibili malware, fake av, ecc.... Questa la pagina, dal layout abbastanza curato, hostata su diversi indirizzi IP USA e che presenta il solito flash player update  In realta' si tratta, come risulta da un report VT, (report sul blog) di malware che anche questa volta, risulta non rilevato da un discreto numero di softwares AV tra i piu' noti. Come sempre, bisogna comunque ricordare che, anche se non in elenco, alcuni software AV potrebbero riconoscere la minaccia quando il file venisse eseguito sul pc, e questo per i noti limiti di una scansione online on-demand. Sempre relativamente a falsi player video, riprendo il post di ieri, per una analisi un poco piu' approfondita dei contenuti della pagina inclusa in maniera nascosta sul sito IT compromesso. Analizzando la 'provenienza' dei contenuti della pagina, si puo' notare come, questa volta, vengano utilizzati numerosi link esterni per costruire il layout del falso blog e linkare il relativo codice pericoloso. In questo screenshot vediamo raccolti i principali dettagli dei links usati e precisamente:  Una serie di links alle immagini relative al background pagina del falso blog (su sito con whois tedesco che propone un servizio free di blog (sublo.com)) (img sul blog) Un links ad immagine gif animata hostata su Google Code Un links a javascript per la gestione dei cookies e sempre su Google Code (img sul blog) Ecco un dettaglio della pagina creta evidentemente per questo scopo ed hostata su Google Code (ricordo che Google Code e' il sito rivolto a chi e' interessato allo sviluppo di applicazioni collegate ai vari servizi Google)  Come si vede si tratta di utente di fantasia che ha creato il proprio account per hostare i files utili al layout e gestione della falsa pagina blog Per finire un link a sito tedesco che redirige sul sito dal quale viene scaricato il falso setup flash player  Per completezza occorre anche dire che il redirect sembra cambiare con frequenza in quanto mentre ieri si veniva linkati a questo sito con whois in Serbia e che sulla home presentava anche un ulteriore download dal differente nome ma uguale contenuto (img sul blog) oggi si viene invece rediretti sempre sul download a file fake AV ma su sito hostato in posti piu''esotici' almeno dall'IP visualizzato (img sul blog) Come si vede una gestione molto accurata e complessa per una semplice pagina di falso player video. Edgar  fonte: http://edetools.blogspot.com/2009/06...ento-0306.html Ultima modifica di Edgar Bangkok : 03-06-2009 alle 05:03. |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:34.
