|
|||||||
|
|
|
 |
|
|
Strumenti |
26-07-2008, 05:33
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Watch Free Movie - Update Every Hour!
sabato 26 luglio 2008
Una ricerca in rete mostra , anche con risultati riferiti a qualche ora fa', una notevole quantita' di siti tra cui alcuni .IT che attraverso una pagina inserita all'interno degli stessi , propongono il download di un falso player flash. (img sul blog) Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore (img sul blog) I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ... Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso Questo il risultato quando l esecuzione degli script java e' attivata nel browser (img sul blog) Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT (img sul blog) Come si vede abbiamo la presenza di iframes nascosti (img sul blog) ed una volta attivati gli script la pagina stabilisce una connessione (img sul blog) su ip (img sul blog) Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file (img sul blog) che come rilevamento da parte dei softwares AV di VT (img sul blog) In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito (img sul blog) mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso) (img sul blog) Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash. Edgar  fonte: http://edetools.blogspot.com/ |
|
|
|
26-07-2008, 08:43
|
#2 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Aggiornamento
Se le indicazioni fornite dal motore di ricerca sono attendibili parrebbe continuare o comunque essere molto recente, anche su siti .IT, l'inserimento di nuove pagine contenenti il falso flash player
Questo e', ad esempio, il risultato di ricerca che mostra un aggiornamento del link (da circa un'ora) e che carica una pagina con falso player e malware. (img sul blog) Questo un parziale report solo su siti .IT (img sul blog) Eseguendo il report senza filtrare per dominio .IT i siti la quantita' di quelli che presentano la pagina aggiunta con falso palyer e' elevata (img sul blog) L'uso del tool ha permesso di isolare alcuni nomi del falso installer o player flash (img sul blog) e questa una analisi VT di uno degli eseguibili non verificato nel precedente post (img sul blog) Ed ecco la struttura di uno dei siti colpiti dove si nota la pagina aggiunta (img sul blog) Il fatto che si tratti comunque di pagine nascoste a chi visita il sito che le ospita indica che le stesse potrebbero essere utilizzate linkandole attraverso collegamenti che compaiano su altre pagine, forums ecc.. od al limite su mails di spam come gia visto altre volte. Edgar http://edetools.blogspot.com/
|
|
|
|
|
27-07-2008, 02:07
|
#3 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
Aggiornamento falso flash player e siti .IT colpiti
Ed ecco la conferma di quanto ipotizzato nel precedente post e cioe' l'invio di migliaia di mails di spam dai piu diversi contenuti dell'oggetto
(img sul blog) ma che portano tutte links alle pagine aggiunte ai siti compromessi viste in precedenza (img sul blog) La percentuale di siti .IT colpiti sembra abbastanza elevata fonte:http://www.malwaredomainlist.com/forums/ Edgar http://edetools.blogspot.com/ |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:49.
