[NEWS] Download Video via index1.php Nuova variante di falso player video su siti .IT

Edgar Bangkok · 05-08-2008, 07:14

martedì 5 agosto 2008

N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti.

Nei giorni scorsi abbiamo visto numerosi siti .IT con inclusa al loro interno una pagina che proponeva un falso aggiornamento flash player ed anche, in alcune, un iframe con exploits di vario genere.
Sembra che adesso il tentativo di far scaricare pericoloso malware abbia una nuova ulteriore fonte.
Sono infatti apparse da poco nuove pagine incluse all'interno di siti .IT che si differenziano da quelle viste nei giorni scorsi come vediamo da questa ricerca in rete.

Anche questa volta i siti colpiti oltre alla pagina nascosta ospitano il file eseguibile del falso player ed inoltre il nome della pagina varia da sito a sito ( index6.html ...index12.html ecc...)
E' interessante notare come questa volta la pagina possa essere caricata richiamandola con l'url del nome del sito seguita da /index1.php.

Vediamo ad esempio questo sito .IT
(img sul blog)
nel quale e' presente la pagina nascosta

questo un log della connessione al sito
(img sul blog)
e questo il codice sorgente della pagina

con all'interno i riferimenti al falso player malware ed anche un iframe nascosto che al momento non sembra pero' attivo mentre il malware e' come sempre poco riconosciuto dai softwares AV

Il nome del file eseguibile , tra l'altro, risulta variare a seconda del sito che ospita la pagina del falso player cosi' come cambia il nome del file html che costituisce la pagina con i links e l'immagine del player
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/

Edgar Bangkok · 06-08-2008, 04:13

N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti.

Sono ora presenti in rete alcune varianti della pagina con falso player.
Abbiamo ad esempio una variante della pagina con il falso movie catalogato come “Shoking Video”
Non so se la cosa sia voluta o meno ma c'e' da notare che la parola inglese presente nella pagina shocking viene scritta come shoking con un banale errore che potrebbe pero' dimostrare la non provenienza da paese di lingua inglese dei creatori di questo genere di attacchi.

Ed ecco alcuni dei nuovi nomi utilizzati:

ed anche

Anche il layout della pagina e' cambiato e presenta un differente stile di player

La tecnica usata e' sempre quella di una pagina inserita all'interno di normali siti web con la presenza oltre che al codice del falso player anche di un iframe nascosto ma al momento non attivo.

Probabilmente assisteremo, come gia' successo per le pagine con falso setup di player Flash a numerose varianti tutte con link a malware.

Edgar

05-08-2008, 07:14	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Download Video via index1.php Nuova variante di falso player video su siti .IT martedì 5 agosto 2008 N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti. Nei giorni scorsi abbiamo visto numerosi siti .IT con inclusa al loro interno una pagina che proponeva un falso aggiornamento flash player ed anche, in alcune, un iframe con exploits di vario genere. Sembra che adesso il tentativo di far scaricare pericoloso malware abbia una nuova ulteriore fonte. Sono infatti apparse da poco nuove pagine incluse all'interno di siti .IT che si differenziano da quelle viste nei giorni scorsi come vediamo da questa ricerca in rete. Anche questa volta i siti colpiti oltre alla pagina nascosta ospitano il file eseguibile del falso player ed inoltre il nome della pagina varia da sito a sito ( index6.html ...index12.html ecc...) E' interessante notare come questa volta la pagina possa essere caricata richiamandola con l'url del nome del sito seguita da /index1.php. Vediamo ad esempio questo sito .IT (img sul blog) nel quale e' presente la pagina nascosta questo un log della connessione al sito (img sul blog) e questo il codice sorgente della pagina con all'interno i riferimenti al falso player malware ed anche un iframe nascosto che al momento non sembra pero' attivo mentre il malware e' come sempre poco riconosciuto dai softwares AV Il nome del file eseguibile , tra l'altro, risulta variare a seconda del sito che ospita la pagina del falso player cosi' come cambia il nome del file html che costituisce la pagina con i links e l'immagine del player (img sul blog) Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

06-08-2008, 04:13	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamenti 5 e 6 agosto N.B. si tratta di links a pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questi siti. Sono ora presenti in rete alcune varianti della pagina con falso player. Abbiamo ad esempio una variante della pagina con il falso movie catalogato come “Shoking Video” Non so se la cosa sia voluta o meno ma c'e' da notare che la parola inglese presente nella pagina shocking viene scritta come shoking con un banale errore che potrebbe pero' dimostrare la non provenienza da paese di lingua inglese dei creatori di questo genere di attacchi. Ed ecco alcuni dei nuovi nomi utilizzati: ed anche Anche il layout della pagina e' cambiato e presenta un differente stile di player La tecnica usata e' sempre quella di una pagina inserita all'interno di normali siti web con la presenza oltre che al codice del falso player anche di un iframe nascosto ma al momento non attivo. Probabilmente assisteremo, come gia' successo per le pagine con falso setup di player Flash a numerose varianti tutte con link a malware. Edgar __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email