[NEWS] SiteAdvisor e falsa pagina CNN con player video. Una errata analisi

Edgar Bangkok · 08-08-2008, 05:11

venerdì 8 agosto 2008

N.B. si tratta di pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questo sito.

Capita, a volte, che McAfee Site Advisor indichi come pericolosi normali siti web che non presentano problemi.
Ad esempio il recente caso del noto Blog 'Il disinformatico” di Paolo Attivissimo che Site Advisor indicava presentare problemi.
Qui il link che spiega l'accaduto http://attivissimo.blogspot.com/2008...ista-nera.html

Piu' pericoloso e' forse il caso contrario e cioe' di siti con links a malware che vengo indicati da Site Advisor come affidabili e nel caso poi di pagine di phishing che imitano alla perfezione reali siti la cosa e' ancora piu' rilevante.

Ecco cosa ci propone l'analisi di McAfee Site Advisor per questo sito, che vede il logo CNN, suo malgrado, molto sfruttato ultimamente per distribuire malware (vedi ad esempio le false mails di phishing con malware del post precedente)

A quanto pare, per Site Advisor, al momento tutto normale, ma una visita alla pagina del sito dimostra che il reale contenuto e' tutt'altro che sicuro

Gia' un primo whois indica il sito locato su server in
(img sul blog)
cosa che non sembra molto corretta per una pagina della CNN che ricordo ha sede ad Atlanta in USA
La pagina con layout molto curato presenta in bella mostra un player video che ne occupa una buona parte

e se gli scripts sono attivi abbiamo questa videata

che penso si commenti da sola

Un esame del file di setup scaricato mostra che il malware, risulta poco conosciuto da alcuni importanti softwares AV

Inoltre sembrerebbe che il nome del file ed il suo contenuto pericoloso mutino continuamente es. da c-setup.exe a setup.exe a fronte di successivi caricamenti della pagina.
Il file eseguibile viene scaricato da
(img sul blog)
range IP molto noto per simili attivita' di distribuzione malware.

C'e' solo da sperare che Site Advisor modifichi l'analisi del sito in questione prima che qualcuno, fidandosi della rassicurante analisi proposta , installi sul pc il falso player video CNN con tutte le immaginabili conseguenze del caso.

Edgar

fonte: http://edetools.blogspot.com/

BEY0ND · 09-08-2008, 00:24

beh un utente inesperto scaricherebbe l'exe cadendo nella trappola con molta facilità,considerando che il site advisor non è affidabile e che non tutti gli antivirus hanno sempre fresche nel database gli ultimi malware(in questo caso gli utenti con mcafee,nod32,bitdefender,norton tanto per citarne alcuni sarebbero rimasti fregati),l'unico rimedio sicuro è la virtualizzazione

08-08-2008, 05:11	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] SiteAdvisor e falsa pagina CNN con player video. Una errata analisi venerdì 8 agosto 2008 N.B. si tratta di pagina con collegamento a malware attivo e pericoloso. Usate quindi le dovute precauzioni se visitate questo sito. Capita, a volte, che McAfee Site Advisor indichi come pericolosi normali siti web che non presentano problemi. Ad esempio il recente caso del noto Blog 'Il disinformatico” di Paolo Attivissimo che Site Advisor indicava presentare problemi. Qui il link che spiega l'accaduto http://attivissimo.blogspot.com/2008...ista-nera.html Piu' pericoloso e' forse il caso contrario e cioe' di siti con links a malware che vengo indicati da Site Advisor come affidabili e nel caso poi di pagine di phishing che imitano alla perfezione reali siti la cosa e' ancora piu' rilevante. Ecco cosa ci propone l'analisi di McAfee Site Advisor per questo sito, che vede il logo CNN, suo malgrado, molto sfruttato ultimamente per distribuire malware (vedi ad esempio le false mails di phishing con malware del post precedente) A quanto pare, per Site Advisor, al momento tutto normale, ma una visita alla pagina del sito dimostra che il reale contenuto e' tutt'altro che sicuro Gia' un primo whois indica il sito locato su server in (img sul blog) cosa che non sembra molto corretta per una pagina della CNN che ricordo ha sede ad Atlanta in USA La pagina con layout molto curato presenta in bella mostra un player video che ne occupa una buona parte e se gli scripts sono attivi abbiamo questa videata che penso si commenti da sola Un esame del file di setup scaricato mostra che il malware, risulta poco conosciuto da alcuni importanti softwares AV Inoltre sembrerebbe che il nome del file ed il suo contenuto pericoloso mutino continuamente es. da c-setup.exe a setup.exe a fronte di successivi caricamenti della pagina. Il file eseguibile viene scaricato da (img sul blog) range IP molto noto per simili attivita' di distribuzione malware. C'e' solo da sperare che Site Advisor modifichi l'analisi del sito in questione prima che qualcuno, fidandosi della rassicurante analisi proposta , installi sul pc il falso player video CNN con tutte le immaginabili conseguenze del caso. Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 08-08-2008 alle 07:48.

09-08-2008, 00:24	#2
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	beh un utente inesperto scaricherebbe l'exe cadendo nella trappola con molta facilità,considerando che il site advisor non è affidabile e che non tutti gli antivirus hanno sempre fresche nel database gli ultimi malware(in questo caso gli utenti con mcafee,nod32,bitdefender,norton tanto per citarne alcuni sarebbero rimasti fregati),l'unico rimedio sicuro è la virtualizzazione

Strumenti
Mostra una versione stampabile Invia questa pagina per email