|
|||||||
|
|
|
 |
|
|
Strumenti |
07-08-2008, 10:08
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Utilizzo di folders di 'upload' come deposito di links a malware
giovedì 7 agosto 2008
Sono parecchi anche i siti .IT che, come al solito in maniera nascosta, ospitano links a malware, il piu delle volte sotto forma di falsi player video contenuti nelle pagine linkate. Esamineremo questa volta i contenuti 'nascosti' dei folders di upload presenti in molti siti web. Prima di vedere alcuni dei moltissimi casi presenti in rete e contenuti in folders di upload e bene segnalare che nella maggior parte delle volte la pagina o le pagine (possono essere anche centinaia per simulare ad esempio un falso blog) sono raggiungibili solo se il referrer passato dal browser e' quello risultante da una ricerca in rete. (img sul blog) Qui vediamo un setup di referrer che permette di raggiungere le pagine malware attraverso la stringa che simula la provenienza del link utilizzato, da una pagina di ricerca in rete. (img sul blog) Questo si spiega bene con il fatto che queste pagine, nelle intenzioni di chi le ha create, servono malware attraverso i risultati di una ricerca Internet ed il link diretto, se nascosto, aumenta la probabilita' che rimangano per diverso tempo attive e nascoste. In altre parole se richiamiamo il codice html dal browser con link diretto otteniamo un risultato di pagina non trovata (img sul blog) Inoltre il sub-folder spesso all'interno di quello di upload ed utilizzato per hostare le pagine porta ad esempio un riferimento a data passata (2005) anche se creato recentemente e questo ,ancora una volta per mascherare meglio il suo contenuto. In questa schermata vediamo ad esempio il contenuto del folder 'upload' di un sito di un noto parlamentare italiano che, insieme a tre folder del tutto 'normali' e contenenti le immagini pubblicate sulle pagine, ospita anche il folder 2005 (img sul blog) cliccando su quale abbiamo l'apertura della seguente pagina, contenente un buon numero di ulteriori links pericolosi. (img sul blog) Non si salvano da questo genere di attacchi che distribuiscono links a malware anche folders di upload che , peraltro senza grande successo visiti i risultati, si propongono come inseriti in 'Area Riservata' (img sul blog) Qui vediamo un screenshot di siti italiano che al momento dell'accesso al folder upload mostra il seguente avviso (img sul blog) Peccato che il contenuto nell'area Riservata sia facilmente accessibile da una ricerca in rete e porti a linkare , anche con gli script disabilitati sul browser , a questo noto sito di falsi filmati porno (img sul blog) che naturalmente ospita il falso setup del player video contenente varianti del malware ZLOB con codice continuamente modificato e poco riconosciuto dai softwares AV Questo un whois del sito di falsi filmati porno: molto noto a chi si occupa di malware. (img sul blog) Stessa data ma nome diverso per quest'altro folder (img sul blog) contenente una serie di false pagine con ulteriori links questa volta a falsi antivirus. (img sul blog) Tra l'altro il fatto di avere date comuni tra diversi folder con questo genere di contenuti sembrerebbe evidenziare che non ci si trova di fronte ad un caso isolato ma ad un sistematico ed esteso tentativo di aumentare la diffusione del malware in rete (continua) Edgar  fonte: http://edetools.blogspot.com/ |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:59.
