domenica 21 ottobre 2007

Aggiornamento siti storm worm

Sembra che da qualche ora la pagina che proponeva una falsa applicazione p2p chiamata Krakin contenente il malware storm worm sia scomparsa e sia ritornata la precedente pagina che copia il layout del sito di greetings cards superlaugh.com.

Che si siano accorti che la pagina del falso software p2p non rendesse abbastanza in fatto di distribuzione del malware ?

Il file scaricabile contenente il malware e' SuperLaugh.exe ed al momento solo il 30% dei programmi antivirus presenti su VirusTotal riconosce il pericolo; per di piu' alcuni di questi antivirus lo indicano soltanto come file sospetto.



Il file offuscato presente nel falso sito SuperLaugh sembra contenere lo stesso codice di quello della pagina Krakin (compreso il continuo cambiamento della chiave XOR nella routine di decodifica della sequenza offuscata)

Resta da vedere se il ritorno alla vecchia pagina e' solo temporaneo o se forse si vuole alternare diversi layout di siti per poter aumentare le possibilita di diffusione del malware.

Edgar

1 commento:

Sbronzo di Riace ha detto...

Io in passato segnalai virus ed altro malware a vari produttori di antivirus ed ancora oggi dopo mesi non vengono riconosciuti.
Sarà che di malware esistono tante varianti ma ultimamente i produttori di antivirus stanno latitando in quanto a prontezza nell'inserimento di nuove firme