mercoledì 24 ottobre 2007

Una' curiosita' online: Il deposito del MALWARE

E' apparso sull'ottimo blog di Dancho Danchev - Mind Streams of Information Security Knowledge un interessante post su un server internet contenente in un solo folder piu' di 100 malware sotto forma di svariati file exe, rar, zip;
praticamente un deposito online da cui attingere programmi pronti all'uso.
Indagando un po piu' a fondo su questa notizia, si puo' vedere dagli screenshot del folder, che ci troviamo di fronte ad un assortimento veramente vario con le le date dei files che variano dal 2006 sino a maggio 2007.
Questa e' una lista parziale dei files contenuti:


un'altra parziale vista del folder


Un file che ho subito testato e quello denominato wget.exe, se non altro perche e' un software che uso frequentemente negli script in Autoit.

Ad una scansione con VirusTotal risulta infetto per :

Complete scanning result of "wget.exe", processed in VirusTotal at 10/24/2007 03:49:36 (CET).

[ file data ]
* name: wget.exe
* size: 15941
* md5.: ff1aae931ac2231f92365399100ee129
* sha1: 0c0527315b2416744862be2cac05c23238119906

[ scan result ]
AhnLab-V3 2007.10.24.0/20071023 found [Win-AppCare/Renos.15941.B]
AntiVir 7.6.0.27/20071023 found [TR/Fakealert.FC.1]
Authentium 4.93.8/20071023 found [W32/Downloader.gen10]
Avast 4.7.1074.0/20071023 found [Win32:Trojan-gen {Other}]
AVG 7.5.0.488/20071023 found [Generic4.EOO]
BitDefender 7.2/20071024 found [Trojan.ED]
CAT-QuickHeal 9.00/20071023 found [Hoax.Renos.ho (Not a Virus)]
ClamAV 0.91.2/20071024 found [Trojan.Fakealert-66]
DrWeb 4.44.0.09170/20071023 found [Trojan.Fakealert.271]
eSafe 7.0.15.0/20071022 found [Win32.Zlob]
eTrust-Vet 31.2.5235/20071023 found nothing
Ewido 4.0/20071023 found [Not-A-Virus.Hoax.Win32.Renos.ho]
F-Prot 4.3.2.48/20071023 found [W32/Downloader.gen10]
F-Secure 6.70.13030.0/20071024 found [not-virus:Hoax.Win32.Renos.ho]
FileAdvisor 1/20071024 found [High threat detected]
Fortinet 3.11.0.0/20071019 found [PossibleThreat!017971]
Ikarus T3.1.1.12/20071024 found [not-a-virus:Hoax.Win32.Renos.ho]
Kaspersky 7.0.0.125/20071024 found [not-virus:Hoax.Win32.Renos.ho]
McAfee 5147/20071023 found [Generic.ed]
Microsoft 1.2908/20071024 found [Joke:Win32/Renos.HO]
NOD32v2 2611/20071023 found nothing
Norman 5.80.02/20071023 found [W32/Suspicious_U.gen]
Panda 9.0.0.4/20071023 found [Adware/WinAntivirus2006]
Prevx1 V2/20071024 found nothing
Rising 19.46.12.00/20071023 found [Adware.Win32.Renos.ho]
Sophos 4.22.0/20071024 found [Mal/TinyDL-C]
Sunbelt 2.2.907.0/20071023 found [Trojan.FakeAlert]
Symantec 10/20071024 found [Trojan.Zlob]
TheHacker 6.2.9.105/20071023 found [W32/Behav-Heuristic-060]
VBA32 3.12.2.4/20071022 found [Trojan.Fakealert.271]
VirusBuster 4.3.26:9/20071023 found [Packed/Upack]
Webwasher-Gateway 6.6.1/20071023 found [Trojan.Fakealert.FC.1]

La pericolosita' del contenuto dei falsi programmi di questo folder risulta comunque attenuata dal fatto che essendo i files non recentissimi, una buona parte degli antivirus (ma purtroppo non tutti ... vedi elenco sopra ..) rileva le minacce contenute nei falsi programmi.

Un whois dell'IP del server che contiene questi files punta a:



Edgar


Nessun commento: