TUTTI I LINK E INDIRIZZI IP CITATI NEL POST APRONO UNA PAGINA CONTENENTE FILE EXE MALWARE E JAVASCRIPT OFFUSCATO CONTENENTE EXPLOIT POTENZIALMENTE PERICOLOSO SE NON AVEVTE AGGIORNATO WINDOWS CON TUTTE LE PATCH DI SICUREZZA. EVITATE DI APRIRE QUESTI LINK SE NON AVETE PRESO TUTTE LE PRECAUZIONI DEL CASO (ES. FIREFOX CON ESTENSIONE NOSCRIPT ATTIVATA ED ESEGUITO IN SANDBOXIE)
Non avevo neanche finito di scrivere il post riguardo al comando nslookup che la pagina NFL con i risultati sportivi contenente malware (accessibile anche attraverso bnably.com e di cui si parla nel precedente post) e' cambiata .
Ora abbiamo una pagina di giochi arcade molto colorata e devo dire anche un po lenta nel caricamento a causa di molte immagini anche animate.
Il malware contenuto ha cambiato nome ed e' tornato lo javascript offuscato che nel sito NFL precedente non era piu' inserito.
Questo intanto e' uno screenshot del sito.
Riguardo al malware contenuto abbiamo tutte le immagini e tutti i bottoni che linkano al file ArcadeWorld.exe contenente il malware che solo alcuni antivirus individuano.
Nod32, Panda, KAspersky, Fortinet, ClamAV, Prevxl, AVG, BitDefnder, DrWeb, Ewido, FileAdvisor, VirusBuster, VBA32, Rising al momento NON evidenziano il file come pericoloso.
Symantec, Microsoft, Sophos, McAfee, F-prot, F-secure, Avast, Antivir trovano invece un malware anche se molti solo come sospetto.
Per quanto si riferisce al javascript offuscato sembra essere lo stesso gia' presente in altre pagine e cioe' un exploit che sfrutta una falla di sicurezza in versioni non aggiornate del player Microsoft.
Come al solito ci si aspetta adesso una ondata di mail spam che inviterannoa scaricare giochi arcade da questo sito e dagli altri che fanno parte di questo sitema botnet.
La pagina dei falsi giochi arcade al momento e' visibile anche ai seguenti indirizzi, tutti facenti parte della rete botnet fast-flux:
tibeam.com;
kqfloat.com;
qavoter.com;
ptowl.com;
wxtaste.com;
eqcorn.com;
ltbrew.com;
bnably.com;
Una curiosita': avevo citato un esempio di IP di provider italiano (P 88.34.104.3 ) che linkava a una delle pagine del falso sito sportivo NFL; a distanza di qualche giorno l IP e' sempre attivo e visualizza ora la pagina Arcade World.
Probabilmente l'infezione con malware riguarda una macchina che funziona o da sever o che comunque e' costantemente ON, non credo che un pc casalingo rimanga raggiungibile a qualsiasi ora del giorno o della notte e daltronde il whois riporta l'appartenenza ad una srl di Padova.
Aggiornamento 16 settembre
Adesso anche il NOD32 riconosce il malware ma F-prot e F-secure che prima lo riconoscevano adesso non evidenziano nessuna minaccia nel file ArcadeWorld.exe segno che il codice del malware continua ad essere aggiornato con nuove varianti.
Inoltre il checksum restituito da virus total cambia ad ogni download del maware segno che comunque viene variato qualcosa nel file exe ogni volta che si scarica sul pc.
Aggiornamento 17 settembre
Ora 19 antivirus su 32 riconoscono il file .exe presente su ArcadeWorld come pericoloso.
Dall'elenco prodotto da Virus Total si nota che continuano a non rilevare il malware VBA32, PANDA, Norman, F-Prot, TheHacker, Rising, Prevxl, File Advisor,Ewido, E-trust, Authentium, Antivir, Ahnlab v3,
Aggiornamento 18 settembreLa situazione aggiornata eseguita con VirusTotal il 18 settembre (ore 4.26 Am ora 1taliana) vede ora il NOD32 NON evidenziare piu' come pericoloso il file .exe presente su ArcadeWorld mentre Antivir adesso rileva il malware.
Al momento quindi VBA32, PANDA, Norman, F-Prot, TheHacker, Rising, Prevxl, File Advisor,Ewido, E-trust, Authentium, Ahnlab v3 e NOD32, non riescono a evidenziare la pericoloita' del file eseguibile ArcadeWorld.exe.
Lascia un po perplessi il fatto che NOD32 non riesca a rimanere attivo contro questo pericoloso malware ma continui a variare la risposta tra positiva e negativa molto spesso.
C'e' anche da evidenziare come Panda antivirus che mi pare abbastanza diffuso, in questi giorni non sia mai riuscito a rilevare alcuna minaccia nel file exe, almeno se si prendono per buoni i risultati delle scansioni online fatte con VirusTotal.
Aggiornamento 19 settembre
Rispetto al 18/9 ora anche NOD32 e Norman, ritornano a rilevare il malware, ma Authentium, Ahnlab v3, Ewido, E-trust, File Advisor, PANDA, Rising, Prevxl, TheHacker, VBA32, F-Prot, Ikarus continuano a non evidenziare il file come pericoloso.
Aggiornamento 20 settembre
Nuovamente NOD32 ed altri AV non riconoscono il malware che continua a mutare frequentemente.
Ora solo il 40% degli AV rilevano il pericolo.
ecco la lista:
Aggiornamento 22 settembre
Attualmente i siti della rete botnet riportati nell'elenco presente in questo post non sembrerebbero piu' raggiungibili.
Al momento e' difficle capire se si tratta di un blocco definitivo oppure, come e' gia successo, solo di un momentaneo stop.
Edgar
Nessun commento:
Posta un commento