[NEWS] Aggiornamento sulla distribuzione di falsi AV attraverso links su siti .IT

Edgar Bangkok · 24-12-2008, 21:28

24 dicembre 2008
(postato dall'Italia)

Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti anche .IT

Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana
(img sul blog)
che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)

anche su pagine diverse dalla homepage

e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.

(img sul blog)

Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato

che deoffuscato

punta a falsi scanners online con relativo link automatico a files eseguibili di install
(img sul blog)
I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV

Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage

presenta centinaia di links nascosti che a loro volta puntano a pagine come questa

Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.

In ogni caso si tratta sempre di links che, come si vede da un log

coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install di cui viene proposto un download automatico con notevole insistenza
(img sul blog)
L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....

Edgar

fonte: http://edetools.blogspot.com/

FulValBot · 26-12-2008, 10:42

ma una cosa: dove lo trovo l'elenco completo de sti falsi siti? almeno così magari li aggiungo dentro il file hosts in modo da bloccarli definitivamente.

Edgar Bangkok · 26-12-2008, 16:49

Sarebbe bello avere un elenco aggiornato ma purtroppo questi siti di falsi AV nascono e vanno offline continuamente ed a migliaia, e magari dopo solo pochi giorni di attivita'.
Si possono fare ricerche in rete, se ne trovano parecchi, ma basta una settimana di tempo per mandare quelli trovati offline e trovarne di nuovi.
Quindi un elenco completo ed aggiornato, come vedi, e' praticamente impossibile da creare.
Edgar

24-12-2008, 21:28	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamento sulla distribuzione di falsi AV attraverso links su siti .IT 24 dicembre 2008 (postato dall'Italia) Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti anche .IT Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana (img sul blog) che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox) anche su pagine diverse dalla homepage e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs. (img sul blog) Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato che deoffuscato punta a falsi scanners online con relativo link automatico a files eseguibili di install (img sul blog) I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage presenta centinaia di links nascosti che a loro volta puntano a pagine come questa Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV. In ogni caso si tratta sempre di links che, come si vede da un log coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install di cui viene proposto un download automatico con notevole insistenza (img sul blog) L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc..... *Edgar* fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 24-12-2008 alle 21:40.

26-12-2008, 16:49	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Sarebbe bello avere un elenco aggiornato ma purtroppo questi siti di falsi AV nascono e vanno offline continuamente ed a migliaia, e magari dopo solo pochi giorni di attivita'. Si possono fare ricerche in rete, se ne trovano parecchi, ma basta una settimana di tempo per mandare quelli trovati offline e trovarne di nuovi. Quindi un elenco completo ed aggiornato, come vedi, e' praticamente impossibile da creare. Edgar __________________ http://edetools.blogspot.com/

26-12-2008, 10:42	#2
FulValBot Senior Member Iscritto dal: Oct 2007 Città: Roma Messaggi: 9806	ma una cosa: dove lo trovo l'elenco completo de sti falsi siti? almeno così magari li aggiungo dentro il file hosts in modo da bloccarli definitivamente.

Strumenti
Mostra una versione stampabile Invia questa pagina per email