[NEWS] Un altro interessante esempio di pagine nascoste con link a falsi antivirus

Edgar Bangkok · 24-08-2008, 05:28

domenica 24 agosto 2008

Precedentemente abbiamo visto come , attraverso pagine nascoste, all'interno di siti compromessi, si reindirizzi una ricerca web su falsi siti antivirus.
Quello che vediamo adesso e' un altro esempio che dimostra come in queste ultime settimane ci sia stato un notevole aumento di links a falsi AV che sono andati a sostituire i links precedenti a siti con falsi video porno in genere malware Zlob e varianti.

In questo sito IT abbiamo inoltre ben evidente il codice usato per creare un risultato selettivo in base al fatto che si apra la pagina nascosta attraverso una ricerca in rete o con link diretto.
Riconoscere se la pagina con javascript offuscato e' raggiunta da una ricerca in rete o richiamata direttamente consente, tra l'altro, a chi gestisce questo genere di attacchi, di mascherare meglio la presenza dei links pericolosi presenti nelle pagine nascoste all'interno dei siti colpiti.

Ecco la homepage del sito su dominio .IT che ospita le pagine nascoste con links a falso AV
(img sul blog)
ed ecco una delle pagine interne al sito
(img sul blog)
Si tratta come sempre di un testo con centinaia di termini 'porno' di vario genere che servono a favorirne una ricerca in rete.
Nel codice della stessa troviamo un javascript debolmente offuscato
(img sul blog)
che una volta decodificato
(img sul blog)
ci mostra come attraverso una verifica del referrer usato si venga reindirizzati su sito di falsi Av
o in alternativa venga creata una semplice pagina che imita quella usuale di “pagina non trovata”.
(img sul blog)
Il sito del falso software antivirus invece presenta , come sempre, la possibilita' attraverso un valore chiave inserito nella url, di visualizzare differenti layout di falso scanner AV
Qui ne vediamo due diversi esempi.
(img sul blog)
Che differiscono per la grafica utilizzata nel logo dell'applicazione.
Anche in questo caso alcuni softwares Av non riconoscono il falso programma.

Edgar

Fonte: http://edetools.blogspot.com/

Blue Spirit · 24-08-2008, 13:17

interessantissimo il tuo blog, complimenti edgar!

24-08-2008, 05:28	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Un altro interessante esempio di pagine nascoste con link a falsi antivirus domenica 24 agosto 2008 Precedentemente abbiamo visto come , attraverso pagine nascoste, all'interno di siti compromessi, si reindirizzi una ricerca web su falsi siti antivirus. Quello che vediamo adesso e' un altro esempio che dimostra come in queste ultime settimane ci sia stato un notevole aumento di links a falsi AV che sono andati a sostituire i links precedenti a siti con falsi video porno in genere malware Zlob e varianti. In questo sito IT abbiamo inoltre ben evidente il codice usato per creare un risultato selettivo in base al fatto che si apra la pagina nascosta attraverso una ricerca in rete o con link diretto. Riconoscere se la pagina con javascript offuscato e' raggiunta da una ricerca in rete o richiamata direttamente consente, tra l'altro, a chi gestisce questo genere di attacchi, di mascherare meglio la presenza dei links pericolosi presenti nelle pagine nascoste all'interno dei siti colpiti. Ecco la homepage del sito su dominio .IT che ospita le pagine nascoste con links a falso AV (img sul blog) ed ecco una delle pagine interne al sito (img sul blog) Si tratta come sempre di un testo con centinaia di termini 'porno' di vario genere che servono a favorirne una ricerca in rete. Nel codice della stessa troviamo un javascript debolmente offuscato (img sul blog) che una volta decodificato (img sul blog) ci mostra come attraverso una verifica del referrer usato si venga reindirizzati su sito di falsi Av o in alternativa venga creata una semplice pagina che imita quella usuale di “pagina non trovata”. (img sul blog) Il sito del falso software antivirus invece presenta , come sempre, la possibilita' attraverso un valore chiave inserito nella url, di visualizzare differenti layout di falso scanner AV Qui ne vediamo due diversi esempi. (img sul blog) Che differiscono per la grafica utilizzata nel logo dell'applicazione. Anche in questo caso alcuni softwares Av non riconoscono il falso programma. Edgar Fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

24-08-2008, 13:17	#2
Blue Spirit Senior Member Iscritto dal: Feb 2002 Città: Termini Im. (I)/Port Talbot (UK)/Ludwigshafen (D) Messaggi: 936	interessantissimo il tuo blog, complimenti edgar! __________________ «Sono cristiano con Copernico, Descartes, Newton, Leibniz, Pascal, Eulero, Gerdil, con tutti i grandi astronomi e fisici del passato. E se mi si chiedessero le mie ragioni sarei felice di esporle» (Cauchy) /// I shall fear no evil, for Thou art with me /// CLIO COMMUNITY /// AF inside /// Sehnsucht

Strumenti
Mostra una versione stampabile Invia questa pagina per email