[NEWS] Bmblog

Edgar Bangkok · 08-09-2009, 09:54

martedì 8 settembre 2009

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che la presenza di scripts offuscati, nonche' di precedenti avvisi Google, potrebbe indicare la possibile pericolosita' delle pagine.

Sono centinaia ed a ogni nuova ricerca in rete sembra che aumentino di numero i siti anche in italiano, ed hostati su
(whois sul blog)
(o comunque su IP riconducibili a questo hoster inglese) che mostrano incluse al loro interno pagine che ricordano un layout di blog.

Una ricerca attuale evidenzia che da pochi minuti il motore di ricerca ha indicizzato alcune nuove pagine,

e con data di pubblicazione attuale come si nota da questo screenshot

Ecco alcune delle pagine il cui layout e' simile a blogs e che sono incluse nei siti all'interno di folders sempre con il medesimo nome e precisamente /bmblog/
(img sul blog)
(img sul blog)
(img sul blog)
(img sul blog)
Una analisi del codice mostra la presenza di due script

di cui uno offuscato.

Al momento, sembrerebbe che una volta aperta nel browser, la pagina del blog fasullo si limiti alla sola connessione a Statcounter, come si nota da un report Fiddler
(img sul blog)
oltre che a 'recuperare' le immagini presenti sulla pagina attraverso links a diversi siti.

Una analisi dello script offuscato con VT porta a questi risultati
(img sul blog)
che comunque non sono significativi in quanto solo avvisi generici derivati dalla presenza dello script con codice offuscato

Anche una analisi con Wepawet ritorna i medesimi risultati senza evidenziare la natura dello script offuscato
(img sul blog)

Alcuni dei siti trovati presentano comunque l'avviso di Google circa la presenza di links a malware o falsi AV come in questo caso
(img sul blog)

che sembrerebbe comunque riferito a problemi passati e non attuali.

Per quanto riguarda i links presenti sulla pagina del falso blog abbiamo decine di collegamenti ad altre pagine simili ed alcuni links a pagine con templates di blog.

Bmblog (la decodifica dello script offuscato)

Nel precedente post eravamo rimasti con l'interrogativo al riguardo del file javascript offuscato linkato dai falsi blog che ha richiesto una decodifica piu' laboriosa di quanto succede con i normali javascript offuscati che facilmente, ad esempio con l'uso di Malzilla, possono essere decodificati.(ringrazio SysAdMini di www.malwaredomainlist.com per l'utile suggerimento ad utilizzare Jsunpack)

Ecco la decodifica di parte del file offuscato

che, tramite l'uso anche di alcune delle variabili presenti sul file java offuscato originale, genera quando viene eseguito questo indirizzo di sito web.

Dopo aver attivato una connessione proxy, per simulare un IP diverso da quello Thai (es USA nel caso visto ora), se carichiamo il link nel browser abbiamo l'apertura di questa pagina (dal layout molto comune) che simula l'ennesimo falso scanner AV

hostato su due diversi indirizzi IP
(whois sul blog)
Una analisi VT dimostra che il file linkato e', come ormai succede spesso, poco riconosciuto.

Abbiamo quindi la conferma che le centinaia di false pagine simili a blog incluse sui siti IT visti nel precedente post hanno lo scopo di proporre falsi scanner AV, confermando quindi la tendenza ad una diffusione sempre in rete piu elevata di false applicazioni antivirus.

Una nuova ricerca dimostra inoltre come anche negli ultimi minuti l'inclusione di queste false pagine blog sia estremamente attiva, e chiaramente non solo per siti .IT,

coinvolgendo comunque, almeno per ora, molti siti hostati su servers UK.

Edgar

fonti:

http://edetools.blogspot.com/2009/09/bmblog.html

http://edetools.blogspot.com/2009/09...lo-script.html

Edgar Bangkok · 09-09-2009, 08:53

9 settembre 09

Continua in maniera molto attiva l'inclusione di pagine con layout di falsi blog su siti anche .IT ma hostati su servers UK.

Come dimostra questa ricerca in rete, abbiamo una continua inclusione di nuove pagine di falso blog su diversi siti .IT
(img sul blog)
che , come vediamo da questo ulteriore dettaglio con ricerca per singolo sito,
(img sul blog)
vengono ripetutamente coinvolti nell'inclusione di nuove pagine.

Una ulteriore analisi dello script offuscato conferma che viene fatto uso di referrer per attivare o meno il links al falso scanners AV ed anche che viene effettuato un controllo degli IP di provenienza del visitatore per attivare o meno la pagina del falso AV e del relativo download del file eseguibile.
(img sul blog)
Una scansione VT vede variati i nomi di alcuni software che rilevano la minaccia (comunque sempre moto pochi)
(img sul blog)
in conseguenza del fatto che i contenuti del file sono periodicamente modificati per eludere meglio eventuali controlli AV.

Edgar

fonte: http://edetools.blogspot.com/2009/09...tembre-09.html

Edgar Bangkok · 10-09-2009, 05:53

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Continua in maniera molto attiva l'inclusione di pagine con layout di falsi blog sui siti .IT ma hostati servers UK. (vedi precedenti post 1 2 e 3)

Questo un report Webscanner, che dimostra l'alto numero di siti .IT coinvolti
(report sul blog)
mentre qui vediamo gli stessi risultati ma filtrati per eliminare le URL duplicate in quanto il motore di ricerca trova piu' riferimenti al medesimo sito
(report sul blog)
e questo perche', come gia visto in precedenza, per ogni sito colpito sono diverse le pagine incluse, tutte sempre all'interno del folder /bmblog/.

Segnalo anche che , dopo un periodo durante il quale sembrava essere il solo sottoscritto ad aver rilevato in rete questi problemi, la conferma della compromissione di massa di siti con l'inclusione di falsi blog, e' apparsa su http://threatcenter.blogspot.com/ che in, maniera estremamente corretta, cita anche il mio blog come fonte della individuazione del problema.

Edgar

fonti:
http://edetools.blogspot.com/2009/09...tembre-09.html

ne scrive anche:

http://threatcenter.blogspot.com/200...e-malware.html

08-09-2009, 09:54	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Bmblog martedì 8 settembre 2009 AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che la presenza di scripts offuscati, nonche' di precedenti avvisi Google, potrebbe indicare la possibile pericolosita' delle pagine. Sono centinaia ed a ogni nuova ricerca in rete sembra che aumentino di numero i siti anche in italiano, ed hostati su (whois sul blog) (o comunque su IP riconducibili a questo hoster inglese) che mostrano incluse al loro interno pagine che ricordano un layout di blog. Una ricerca attuale evidenzia che da pochi minuti il motore di ricerca ha indicizzato alcune nuove pagine, e con data di pubblicazione attuale come si nota da questo screenshot Ecco alcune delle pagine il cui layout e' simile a blogs e che sono incluse nei siti all'interno di folders sempre con il medesimo nome e precisamente /bmblog/ (img sul blog) (img sul blog) (img sul blog) (img sul blog) Una analisi del codice mostra la presenza di due script di cui uno offuscato. Al momento, sembrerebbe che una volta aperta nel browser, la pagina del blog fasullo si limiti alla sola connessione a Statcounter, come si nota da un report Fiddler (img sul blog) oltre che a 'recuperare' le immagini presenti sulla pagina attraverso links a diversi siti. Una analisi dello script offuscato con VT porta a questi risultati (img sul blog) che comunque non sono significativi in quanto solo avvisi generici derivati dalla presenza dello script con codice offuscato Anche una analisi con Wepawet ritorna i medesimi risultati senza evidenziare la natura dello script offuscato (img sul blog) Alcuni dei siti trovati presentano comunque l'avviso di Google circa la presenza di links a malware o falsi AV come in questo caso (img sul blog) che sembrerebbe comunque riferito a problemi passati e non attuali. Per quanto riguarda i links presenti sulla pagina del falso blog abbiamo decine di collegamenti ad altre pagine simili ed alcuni links a pagine con templates di blog. *Bmblog (la decodifica dello script offuscato)* Nel precedente post eravamo rimasti con l'interrogativo al riguardo del file javascript offuscato linkato dai falsi blog che ha richiesto una decodifica piu' laboriosa di quanto succede con i normali javascript offuscati che facilmente, ad esempio con l'uso di Malzilla, possono essere decodificati.(ringrazio SysAdMini di www.malwaredomainlist.com per l'utile suggerimento ad utilizzare Jsunpack) Ecco la decodifica di parte del file offuscato che, tramite l'uso anche di alcune delle variabili presenti sul file java offuscato originale, genera quando viene eseguito questo indirizzo di sito web. Dopo aver attivato una connessione proxy, per simulare un IP diverso da quello Thai (es USA nel caso visto ora), se carichiamo il link nel browser abbiamo l'apertura di questa pagina (dal layout molto comune) che simula l'ennesimo falso scanner AV hostato su due diversi indirizzi IP (whois sul blog) Una analisi VT dimostra che il file linkato e', come ormai succede spesso, poco riconosciuto. Abbiamo quindi la conferma che le centinaia di false pagine simili a blog incluse sui siti IT visti nel precedente post hanno lo scopo di proporre falsi scanner AV, confermando quindi la tendenza ad una diffusione sempre in rete piu elevata di false applicazioni antivirus. Una nuova ricerca dimostra inoltre come anche negli ultimi minuti l'inclusione di queste false pagine blog sia estremamente attiva, e chiaramente non solo per siti .IT, coinvolgendo comunque, almeno per ora, molti siti hostati su servers UK. Edgar fonti: http://edetools.blogspot.com/2009/09/bmblog.html http://edetools.blogspot.com/2009/09...lo-script.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 08-09-2009 alle 11:05.

09-09-2009, 08:53	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Bmblog (aggiornamenti 9 settembre 09) 9 settembre 09 Continua in maniera molto attiva l'inclusione di pagine con layout di falsi blog su siti anche .IT ma hostati su servers UK. Come dimostra questa ricerca in rete, abbiamo una continua inclusione di nuove pagine di falso blog su diversi siti .IT (img sul blog) che , come vediamo da questo ulteriore dettaglio con ricerca per singolo sito, (img sul blog) vengono ripetutamente coinvolti nell'inclusione di nuove pagine. Una ulteriore analisi dello script offuscato conferma che viene fatto uso di referrer per attivare o meno il links al falso scanners AV ed anche che viene effettuato un controllo degli IP di provenienza del visitatore per attivare o meno la pagina del falso AV e del relativo download del file eseguibile. (img sul blog) Una scansione VT vede variati i nomi di alcuni software che rilevano la minaccia (comunque sempre moto pochi) (img sul blog) in conseguenza del fatto che i contenuti del file sono periodicamente modificati per eludere meglio eventuali controlli AV. Edgar fonte: http://edetools.blogspot.com/2009/09...tembre-09.html __________________ http://edetools.blogspot.com/

10-09-2009, 05:53	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamenti bmblog 10 settembre AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Continua in maniera molto attiva l'inclusione di pagine con layout di falsi blog sui siti .IT ma hostati servers UK. (vedi precedenti post 1 2 e 3) Questo un report Webscanner, che dimostra l'alto numero di siti .IT coinvolti (report sul blog) mentre qui vediamo gli stessi risultati ma filtrati per eliminare le URL duplicate in quanto il motore di ricerca trova piu' riferimenti al medesimo sito (report sul blog) e questo perche', come gia visto in precedenza, per ogni sito colpito sono diverse le pagine incluse, tutte sempre all'interno del folder /bmblog/. Segnalo anche che , dopo un periodo durante il quale sembrava essere il solo sottoscritto ad aver rilevato in rete questi problemi, la conferma della compromissione di massa di siti con l'inclusione di falsi blog, e' apparsa su http://threatcenter.blogspot.com/ che in, maniera estremamente corretta, cita anche il mio blog come fonte della individuazione del problema. Edgar fonti: http://edetools.blogspot.com/2009/09...tembre-09.html ne scrive anche: http://threatcenter.blogspot.com/200...e-malware.html __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email