[NEWS] Non aprite quel 'portone'

[Edgar Bangkok]

09 giugno 2008

Come dice il titolo del post non sembra il caso di far aprire questa pagina al nostro browser

Esaminiamo in dettaglio il codice:
(img sul blog)
Sono presenti, come si vede 2 script, di cui uno. dal contenuto offuscato ma in maniera semplice , contiene la funzione richiamata dall'altro script.
(img sul blog)
Lo scopo e' quello di richiamare tramite un passaggio sul sito presente nel link un altro sito contenente il falso player che richiede il solito plugin o codec video in realta' malware.
(img sul blog)
Accedendo la prima volta si viene reindirizzati su questa pagina che tenta di scaricare una variante di 'ZLOB' presente di solito su questo genere di siti, e che come sempre viene riconosciuta da pochi software antivirus
(img sul blog)
Questo un whois
(img sul blog)
Un secondo tentativo di ricaricare la pagina pericolosa ( con probabile riconoscimento da parte del server che host malware, dell'indirizzo IP gia' usato precedentemente) porta all'apertura di un differente falso player anche lui con malware allegato
(img sul blog)
Questa una analisi VT
(img sul blog)
e questo il whois del sito
Ritornando alla pagina del 'Portone' c'e' da dire che fa' parte di un considerevole numero di pagine, tutte in lingua italiana, con link a malware che, contrariamente ad altre volte, dove l'hosting era su server stranieri (in genere USA, Russia, Cina ....) avviene questa volta su server italiano
(img sul blog)
Inoltre, a quanto risulta da una ricerca in rete, sembrerebbe che le pagine pericolose siano veramente in numero considerevole e con contenuti di solito ispirati a layout di pagine di blogs
(img sul blog)
Normalmente chi accede a queste pagine viene trasferito, se qli script sono abilitati sul browser, a siti con malware o che linkano a malware e tra quelle piu' pericolose sembrano esserci le pagine con url costituita da nome di persona piu' un numero dalle 2 alle 4 cifre. (boito1970, dossi1985, giacometti14 e molte altre ....)
(img sul blog)
Vsitandole si puo' trovare di tutto, da falsi plugin a falsi filmati quicktime tutti rigorosamente contenenti malware o exploit che tentano di sfruttare qualche vulnerabilta' dei players video.
I contenuti sono, come si vede, costituiti dal solito sistema utilizzato per far apparire la pagina ai primi posti di un ricerca in rete, con un testo senza senso ma zeppo di termini, di solito, di genere porno.
(img sul blog)
Questa la pagina che tenta di scaricare il falso filmato QT
(img sul blog)
che ad una analisi con VT
rivela il contenuto pericoloso che tra l'altro sembra essere hostato se server israeliano.
Capita anche, lo segnalo come curiosita', di trovare alcuni particolari codici come ad esempio questo che parrebbe illustrare un 'rimedio' al 'problema ' riscontrato da chi vuole generare falsi messaggi di errore che non verrebbero visualizzati da explorer se di dimensioni ridotte.
Il rimedio ? , aggiungere commenti di testo fino ad arrivare ad una dimensione che venga accettata dal browser, come si legge proprio nel commento allegato al codice.
(img sul blog)
Come sempre, uno dei rimedi piu' validi per proteggerci da questi contenuti pericolosi, e' quello di utilizzare un browser che ci permetta di disabilitare gli script java che sono i reponsabili per la quasi totalita' di questo tipo di attacchi.
(img sul blog)
Firefox con Noscript attivo, plugin che tra l'altro e' gia' rilasciato anche per la nuova versione del noto browser che uscira' a giorni, e' certamente una delle soluzioni migliori per bloccare gli script pericolosi contenuti in questi siti.

Edgar

fonte: http://edetools.blogspot.com/