[NEWS] Alcuni forum P.A. come aggiornata fonte di links a codec e player malware

[Edgar Bangkok]

16 maggio 2008

Riprendo, dopo qualche tempo, l'argomento riguardo ai forum in rete con links a malware poiche' volendo trovare le ultime novita' in fatto di links a falsi player video o activex o codec video fasulli e pericolosi ultimamente non c'e' bisogno di compiere estese ricerche.

Infatti basta connettersi ad uno dei tanti forum presenti in rete (di solito i peggio gestiti sono quelli inseriti in siti di Amministrazione Pubblica locale ossia Comuni) per trovare subito centinaia di link aggiornatissimi a malware di tutti i generi con le ultime versioni dei codici pericolosi.

Questo che vedete e' un attuale ed aggiornatissimo (solo per i contenuti malware) forum di un noto Comune Toscano che dovrebbe trattare di “Pari Opportunita'” ma che come vedremo presenta contenuti ben diversi.
Potete osservare che la data degli ultimi post e quella di ieri ma al momento sembra che se ne stiano aggiungendo di nuovi 'in tempo reale'.
Si tratta di post lasciati da utenti che sicuramente non hanno molti interessi su quanto riguarda le “Pari opportunita'”
(immagine sul blog)

e questo e' un profilo di uno degli ultimi utenti registratisi al forum. (vedere la data di iscrizione)
Si tratta di utenti fasulli, creati forse in automatico, con il solo scopo di scaricare sul forum migliaia di commenti dai contenuti di solito porno o di falsi medicinali e dai links a malware assortito.
(immagine sul blog)
Con queste premesse non c'e' da meravigliarsi se il contenuto dei vari post sia del tipo che vediamo in questa schermata che riassume parte di una delle discussioni.
Il post in questione come si vede ha una dimensione notevole con centinaia di immagini e testo con termini in italiano alla rinfusa che comunque sono tutti in argomento con l'oggetto del messaggio
Questo un particolare del testo.
(immagine sul blog)
Tutte le immagini sono cliccabili e come c'era da aspettarsi conducono ad un esteso campionario di falsi player video e codec tutti rigorosamente malware e , cosa piu' preoccupante, tutti poco o niente riconosciuti dagli attuali softwares antivirus.
(immagine sul blog)
Alcuni esempi con il relativo report di Virus Total e il whois del server che hosta il malware
(immagine sul blog)
Ecco il download del falso player video
(immagine sul blog)
con whois su
e report VT
(immagine sul blog)

Questo un altro link

con report VT
(immagine sul blog)

Un caso interessante e' il link a questo falso update di codec per windows media player


con whois in
dove nessuno degli AV riconosce il probabile pericolo o forse potrebbe trattarsi di un file appositamente inserito senza malware per creare un po di confusione e sostituirlo al momento piu' opportuno con un file dai contenuti pericolosi
(immagine sul blog)

La ricerca potrebbe continuare riempiendo decine di pagine con vari 'modelli' di falsi codec video e player video fasulli.

Come si vede uno dei metodi favoriti da chi vuol diffondere malware e' l'inserimento di links in forum di solito creati e in seguito non gestiti ed abbandonati.

La moda attuale di inserire, quasi di default, forum in siti di Amministrazione Pubblica favorisce poi in maniera notevole questo diffondersi di pagine e link malware proprio perche' la maggior parte dei siti comunali non procedono ad una amministrazione e moderazione dei contenuti del forum credo anche per mancanza di personale che abbia conoscenze tecniche in questo campo.

Edgar

fonte http://edetools.blogspot.com/