lunedì 10 settembre 2007

Nuova pagina malware.

Come mi segnala GmG in un messaggio di risposta al post precedente ora la diffusione di un eseguibile exe contenente malware e' fatta tramite una pagina che pubblicizza un programma per seguire la National Football League (NFL) USA.

Questo e' lo screenshot andando a visitare il sito.


Questa volta non sono presenti javascript ma solamente un gran numero di links che fanno tutti scaricare un file denominato TRACKER.EXE contenente malware.
Anche in questo caso l'IP della pagina sembra cambiare molto spesso, come riporta un blog USA.

Il file tracker.exe viene al momento (6 AM in Italia) rilevato solo dal 37% degli antivirus (non indicano la presenza di malware questa volta nod32, panda, prevx, mcafee ... come da lista ottenuta con Virustotal).



C'e' inoltre da rilevare che, differentemente da altre volte, questo sito ha contenuti prevalentemente rivolti agli utenti internet USA.

In ogni caso la diffusione di queste pagine con malware si serve di computers locati anche in Italia.
Ad esempio all'indirizzo IP 88.34.104.3 , che un whois ci fa vedere che corrisponde a provider italiano ed e' utilizzato da societa' italiana , e' presente un 'unique storm server IP' tuttora attivo che ci connette al sito sportivo contenente il malware tracker.exe.

Edgar

Nessun commento: