[NEWS] Alcune ricerche in rete di pagine con link a malware (parte prima)

[Edgar Bangkok]

26 giugno 2008

In circa due ore di elaborazione il mio tool, che utilizza alcuni motori di ricerca tra i piu' diffusi e che scarica i codici sorgente delle pagine trovate, ha prodotto piu' di 1.300 files sui quali poi, offline, e' stata fatta una analisi per trovare codici pericolosi o links a malware.

Il primo filtro applicato direttamente dai motori di ricerca tramite i tools consisteva nel selezionare solo pagine su dominio .IT e che avessero contenuto le parole chiave 'porn' e 'comune' evitando anche di caricare piu' files da uno stesso sito (duplicati di urls o comunque piu' pagine dello stesso sito)

I 1.300 sources salvati sono poi stati filtrati ulteriormente per eliminare le pagine gia' bonificate ma ancora indicizzate dal motore di ricerca che per la verita' non sono risultate poi molte.(qualche decina)

Rispetto ad una analisi simile eseguita qualche mese fa' si puo dire che la situazione al riguardo di siti che presentano links a malware e la medesima ed anzi, al gia' lungo elenco, si sono aggiunti nuovi casi che presentano notevoli quantita' di links pericolosi.

Un risultato, tra quelli nuovi, e' la scoperta di un forum, che, presentando una buona gestione degli elenchi utenti, ha permesso tra l'altro, di capire meglio sul meccanismo adottato per diffondere i links al malware.

Questa una tipica pagina di post aggiornata ad oggi 26 giugno 2008 (sono decine i post che portano date recenti se non addirittura quella odierna)
(img sul blog)
Come si vede dal dettaglio dei nominativi utenti del forum quello collegato al creatore del post visto prima riporta una notevole quantita' di messaggi giornalieri.
(img sul blog)
Nel dettaglio ecco il profilo di chi ha creato i posts
(img sul blog)
che contengono nei link alle immagini la solita falsa pagina di player con l'invito a scaricare l'activex necessario per la visione del filmato
(img sul blog)

che come sempre e'
(img sul blog)
poco riconosciuto dai vari software antivirus come succede con questi malware a continuo aggiornamento di codice.
(img sul blog)
Oltre ai links a malware presenti sulle decine di foto porno nei singoli post abbiamo pero' la particolarita' della presenza di centinaia di links a siti, con contenuti porno, ma non solo.
Sono infatti presenti collegamenti ad altri forum con il medesimo contenuto di quello visto che a loro volta linkano ad altri simili.
Ecco un particolare dei links trovati sul post attuale,
(img sul blog)

ed ecco solo alcuni dei forum .IT che sono linkati in una sorta di catena con collegamenti incrociati tra i vari siti e nei quali si nota che il post visualizzato mostra il medesimo utente come creatore
(img sul blog)
ma anche
(img sul blog)
Come si vede si tratta di forum appartenenti a siti su dominio .IT che trattano dei piu' diversi argomenti.

Per finire una nota su come sia possibile l'esistenza di questo genere di forum cosi compromessi.

Considerando che il sito che ospita il forum che abbiamo visto e' aggiornato ad oggi, e quindi si presume continuamente visionato da chi lo utilizza o lo amministra una spiegazione potrebbe essere che si sia creato il forum per un evento particolare e che poi lo si sia semplicemente 'dismesso' senza preoccuparsi piu' di vedere cosa sta succedendo ai suoi contenuti.
A conferma di questo c'e' il fatto che sulla homepage del sito che hosta anche il forum mancherebbero proprio i riferimenti ed i link diretti al forum stesso.( che comunque potrebbero pero essere presenti su altre pagine )

Resta pero' il fatto che una ricerca in rete porta a trovare centinaia di links al forum ed ai post 'porno' contenuti nello stesso e quindi, se chi amministra il sito non vuole piu farsi carico di gestire anche il forum dovrebbe chiuderlo definitivamente onde evitare , se non altro, di spargere in rete links a pericoloso malware sempre aggiornati.

D'altronde l'interesse di chi posta questi falsi messaggi non e' tanto quello di proporli a chi vista il forum direttamente ma piuttosto quello di rendere disponibili decine se non centinaia di link indicizzabili dai motori di ricerca per farli comparire in quantita' elevata ai primi posti di una ricerca in rete, con tutte le conseguenze del caso.

Edgar

fonte: http://edetools.blogspot.com/