Da un po di giorni i domini che linkano alla botnet fast-flux di storm worm non presentano nessuna pagina web, visitando uno dei soliti indirizzi appartenenti alla rete storm worm appare una pagina vuota.
Non e' pero' vero che sia proprio cosi', infatti se proviamo a scaricare il file sony.exe questo risulta presente sul sito storm worm.
Scaricando piu' volte il file si vede che l'hash MD5 risulta differente come e' gia successo per i files malware scaricati dalle pagine precedenti di storm worm.
Virus total rileva sony.exe come :
Non e' pero' vero che sia proprio cosi', infatti se proviamo a scaricare il file sony.exe questo risulta presente sul sito storm worm.
Scaricando piu' volte il file si vede che l'hash MD5 risulta differente come e' gia successo per i files malware scaricati dalle pagine precedenti di storm worm.
Virus total rileva sony.exe come :
| File sony.exe received on 11.29.2007 10:55:23 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.29.0 | 2007.11.29 | - |
| AntiVir | 7.6.0.34 | 2007.11.29 | Worm/Zhelatin.my |
| Authentium | 4.93.8 | 2007.11.28 | - |
| Avast | 4.7.1074.0 | 2007.11.28 | Win32:Zhelatin-ASX |
| AVG | 7.5.0.503 | 2007.11.28 | Generic9.ZME |
| BitDefender | 7.2 | 2007.11.29 | Generic.Malw SFMHY@mmign.50DA829A |
| CAT-QuickHeal | 9.00 | 2007.11.28 | I-Worm.Zhelatin.my |
| ClamAV | 0.91.2 | 2007.11.29 | - |
| DrWeb | 4.44.0.09170 | 2007.11.29 | Trojan.Spambot.2529 |
| eSafe | 7.0.15.0 | 2007.11.28 | - |
| eTrust-Vet | 31.3.5335 | 2007.11.29 | - |
| Ewido | 4.0 | 2007.11.28 | - |
| FileAdvisor | 1 | 2007.11.29 | - |
| Fortinet | 3.14.0.0 | 2007.11.29 | - |
| F-Prot | 4.4.2.54 | 2007.11.28 | - |
| F-Secure | 6.70.13030.0 | 2007.11.29 | Email-Worm.Win32.Zhelatin.my |
| Ikarus | T3.1.1.12 | 2007.11.29 | Backdoor.Win32.Agent.amd |
| Kaspersky | 7.0.0.125 | 2007.11.29 | Email-Worm.Win32.Zhelatin.my |
| McAfee | 5173 | 2007.11.28 | W32/Nuwar@MM |
| Microsoft | 1.3007 | 2007.11.29 | Backdoor:Win32/Nuwar.A |
| NOD32v2 | 2692 | 2007.11.28 | a variant of Win32/Fuclip |
| Norman | 5.80.02 | 2007.11.28 | - |
| Panda | 9.0.0.4 | 2007.11.28 | Suspicious file |
| Prevx1 | V2 | 2007.11.29 | - |
| Rising | 20.20.22.00 | 2007.11.29 | Trojan.Win32.Mnless.zpn |
| Sophos | 4.23.0 | 2007.11.29 | - |
| Sunbelt | 2.2.907.0 | 2007.11.27 | - |
| Symantec | 10 | 2007.11.29 | Trojan.Peacomm.D |
| TheHacker | 6.2.9.144 | 2007.11.28 | - |
| VBA32 | 3.12.2.5 | 2007.11.28 | - |
| VirusBuster | 4.3.26:9 | 2007.11.28 | - |
| Webwasher-Gateway | 6.6.2 | 2007.11.29 | Worm.Zhelatin.my |
| Additional information | |||
| File size: 129537 bytes | |||
| MD5: 4ea369a283f07ee4bf37a30b837f487f | |||
| SHA1: 7b25a6fadedc442900b32b36a3533cdd7490e9de | |||
Vedremo se prossimamente, magari in occasione delle festivita' natalizie comparira' qualche nuova pagina sui siti storm.
La seconda notizia riguarda invece una botnet di cui non si e' ancora parlato molto ma che secondo un recente articolo pubblicato da ITNEWS varia tra 1 milione a 2 milioni di PC infetti.
Si tratta della botnet che sarebbe gestita dal gruppo identificato come ‘Celebrity Spam Gang’ e che secondo ricerche effettuate da Bradley Anstis sembrerebbe responsabile del 20% di tutto lo spam in circolazione.
Lo spam in questione riguarderebbe mails che hanno come oggetto celebrita' come Angelina Jolie o Britney Spears ma anche la distribuzione di giochi free per Windows o Windows Security Updates.
Pur presentando metodi meno sofisticati di Storm Worm pare che questa botnet si sia diffusa in maniera notevole tanto da avvicinarsi alle potenzialita' della piu' famosa botnet Storm.
Edgar
Nessun commento:
Posta un commento