www.MegaLab.it

Dopo averci assillato per tutta l'estate con falsi codec video, aggiornamenti flash player inesistenti e improbabili filmati Cnn, adesso assistiamo ad un nuovo tentativo di distribuzione di malware attraverso delle false pagine di YouTube.

Panda Security, software house alle spalle del celberrimo antivirus, aveva segnalato da pochi giorni la notizia dell'esistenza di un tool chiamato Fake YouTube creator in grado di creare delle false pagine di YouTube destinate alla distribuzione di malware e adesso lo vediamo già in azione.

Via e-mail ricevo da un'improbabile mittente bancaroma.it l'invito per vedere delle nuove foto che nel testo del messaggio diventano poi delle sexy song di Paris Hilton.

Cliccando sul link proposto nel messaggio si apre una pagina abbastanza simile a quelle di YouTube, che presenta una foto hard al centro, che varia ogni volta che mi collego, e un unico link per un Download Now Full Video da cui si scarica un piccolo eseguibile.

Il malware è nascosto in un sito polacco, in una pagina chiamata index7.html che sembra essere comune a questo tipo di diffusione.

Il file che si scarica si chiama pornvideo238vf.exe ed è riconosciuto da pochi antivirus.

Una volta avviato il file pornvideo238vf.exe estrae un file cbevtsvc.exe nella cartella Windows\system32 che si comporta come un rootkit e crea un servizio nascosto.

Il file ha inoltre il compito di collegarsi ad Internet verso un sito di hosting dati americano.

Per scaricare una serie di diversi malware nella cartella C:\Documents and Settings\LocalService\

Come sempre, prestate molta attenzione a questo tipo di messaggi e non aprite mai pagine e link sospetti.