mercoledì 31 ottobre 2007

“Happy Halloween” da Storm Worm 'The dancing skeleton'

AVVISO: TUTTI (O IN PARTE) I LINKS E INDIRIZZI IP CITATI NEL POST APRONO UNA PAGINA CONTENENTE FILE EXE MALWARE E JAVASCRIPT OFFUSCATO CONTENENTE EXPLOIT POTENZIALMENTE PERICOLOSO SE NON AVEVTE AGGIORNATO WINDOWS ED I SOFTWARE CHE USATE CON TUTTE LE PATCH DI SICUREZZA. EVITATE DI APRIRE QUESTI LINK SE NON AVETE PRESO TUTTE LE PRECAUZIONI DEL CASO (ES. FIREFOX CON ESTENSIONE NOSCRIPT ATTIVATA ED ESEGUITO IN SANDBOXIE)

Lo scheletro danzante.
La notte del 31 ottobre si celebra in USA, Canada e da qualche anno anche in altre parti del Mondo , la festa di Halloween.
Vista la notorieta' della ricorrenza questa era una occasione da non lasciarsi sfuggire per poter diffondere malware.
Con un tempismo che dimostra che la rete botnet stormworm e' ancora ben organizzata , nonostante alcune previsioni di un suo lento declino, le pagine web che diffondono il malware sono cambiate passando dalla pagina di false greeting cards a questa nuova pagina che presentava una animazione di uno scheletro danzante

La pagina e' stata poco dopo sostituita da un'altra, tuttora presente agli indirizzi dei domini storm worm, con grafica piu semplice, ma piu immediata e convincente,

che ci propone di scaricare 'Lo scheletro danzante” (download the dancing skeleton" ) , animazione in tema Halloween

Ecco il source:

Inutile dire che il file scaricato, in questo caso halloween.exe e' il malware storm worm.

Ecco i risultati del report di VirusTotal:
-------------------------------------------------------------------------------------------------
Complete scanning result of "halloween.exe", processed in VirusTotal at 10/31/2007 01:33:29 (CET).

[ file data ]
* name: halloween.exe
* size: 111791
* md5.: bb1041a11a87b08048b9bf8a77676a0b
* sha1: 292ccf0b1c9015d6dc48d5b869ece4a9152e0bc8

[ scan result ]
AhnLab-V3 2007.10.31.0/20071030 found nothing
AntiVir 7.6.0.30/20071030 found [WORM/Zhelatin.Gen]
Authentium 4.93.8/20071030 found [W32/StormWorm.G]
Avast 4.7.1074.0/20071030 found nothing
AVG 7.5.0.503/20071030 found [Downloader.Tibs]
BitDefender 7.2/20071031 found [Trojan.Peed.ING]
CAT-QuickHeal 9.00/20071030 found [Win32.Email-Worm.Zhelatin.lj108]
ClamAV 0.91.2/20071030 found [Trojan.Peed-39]
DrWeb 4.44.0.09170/20071030 found [Trojan.Packed.193]
eSafe 7.0.15.0/20071028 found [Suspicious File]
eTrust-Vet 31.2.5253/20071030 found [Win32/Sintun.AK]
Ewido 4.0/20071030 found nothing
F-Prot 4.3.2.48/20071030 found [W32/StormWorm.G]
F-Secure 6.70.13030.0/20071030 found [Email-Worm.Win32.Zhelatin.lj]
FileAdvisor 1/20071031 found nothing
Fortinet 3.11.0.0/20071019 found nothing
Ikarus T3.1.1.12/20071030 found [Email-Worm.Win32.Zhelatin.lj]
Kaspersky 7.0.0.125/20071031 found [Email-Worm.Win32.Zhelatin.lj]
McAfee 5152/20071030 found [Tibs-Packed]
Microsoft 1.2908/20071031 found [Trojan:Win32/Tibs.EU]
NOD32v2 2627/20071030 found [Win32/Nuwar.Gen]
Norman 5.80.02/20071030 found [Tibs.gen177]
Panda 9.0.0.4/20071030 found [Suspicious file]
Prevx1 V2/20071031 found nothing
Rising 19.47.12.00/20071030 found [Trojan.Win32.Peed.dc]
Sophos 4.23.0/20071030 found [Mal/Behav-146]
Sunbelt 2.2.907.0/20071031 found nothing
Symantec 10/20071031 found [Trojan.Packed.13]
TheHacker 6.2.9.110/20071027 found nothing
VBA32 3.12.2.4/20071028 found nothing
VirusBuster 4.3.26:9/20071030 found [Trojan.Tibs.Gen!Pac.139]
-------------------------------------------------------------------------
La percentuale di positivi con la lista degli antivirus di Virus Total risulta abbastanza, alta segno che forse ci si sta' impegnando un po di piu' per combattere questo pericoloso malware.

La pagina contiene anche un codice javascript offuscato (con funzione xor) che decodificato mostra diversi codici di exploit (per winzip , ecc...)

Attualmente la situazione dei domini storm worm e' la seguente (report ottenuto con la versione finale del tool wgetgui)

--------------------------------------------------------
------ REPORT DATE 31/10/2007 TIME 07.37 ----------
--------------------------------------------------------
ptowl.com = READ SITE OK
tibeam.com = READ SITE OK
kqfloat.com = ERROR !!!
snbane.com = ERROR !!!
yxbegan.com = ERROR !!!
wxtaste.com = ERROR !!!
eqcorn.com = ERROR !!!
bnably.com = ERROR !!!
ltbrew.com = ERROR !!!

sembrerebbero attivi solo 2 domini ma la situazione cambia molto spesso.

Come di consueto staranno arrivando le solite mails di spam con l'invito a scaricare 'The dancing skeleton'

Alcune considerazioni:
La scelta di usare Halloween come tramite per far scaricare malware ci fa' vedere che, almeno per ora, come gia' successo precedentemente, si punta a colpire preferenzialmente utenze internet in Usa e Canada o comunque in nazioni di lingua inglese che celebrano la tradizionale festa del 31 ottobre.

Da alcuni articoli, presenti in rete, si e' ipotizzato che botnet storm worm sia in una fase di lento declino; a mio avviso invece il fatto che puntualmente, a poche ore dalla festa di Halloween, (mentre scrivo questo post qui in Thailandia sono le 8 del mattino del 31 ottobre, ma in USA e Canada siamo ancora alla sera 30 ottobre), dimostra che il sistema botnet e' ben funzionante e i suoi creatori fanno affidamento sulle capacita' di diffondere il malware per aumentare l'estensione della rete di computers hackerati in vista di nuovi attacchi.

C'e' anche da rilevare come vengono scelte le pagine per ingannare chi le visita e fargli scaricare il malware; ad esempio la sostituzione della pagina con un'altra diversa poco dopo la pubblicazione forse dimostra una cura anche nel valutare e monitorare i risultati ottenuti. La sostituzione era progrmmata o forse come piu' probabile, si sono accorti che non c'era un numero elevato di download del worm e quindi si e' corsi ai ripari modificando il layout del sito ?

L'unica nota positiva sembrerebbe quella che arriva dalle case produttrici di software antivirus che adesso cominciano a prendere sul serio questo pericolo e stanno cercando di aumentare il riconoscimento di storm worm e delle continue varianti da parte dei loro prodotti.

Edgar

Nessun commento: