sabato 10 novembre 2007

Aggiornamento Myspace

Per quanto si riferisce al malware scaricato dalle pagine hackerate su Myspace si tratta di una pagina contenente un falso codec video.

Sottoposto a Virus Total il codice malevolo viene visto come

File VideoAccessCodecInstall.exe received on 11.10.2007 08:59:04 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.11.10.02007.11.09-
AntiVir7.6.0.342007.11.09DR/Zlob.Gen
Authentium4.93.82007.11.10-
Avast4.7.1074.02007.11.09-
AVG7.5.0.5032007.11.09Downloader.Zlob
BitDefender7.22007.11.10-
CAT-QuickHeal9.002007.11.09TrojanDownloader.Zlob.gen
ClamAV0.91.22007.11.10Trojan.Dropper-2557
DrWeb4.44.0.091702007.11.09-
eSafe7.0.15.02007.11.08-
eTrust-Vet31.2.52842007.11.09-
Ewido4.02007.11.09-
FileAdvisor12007.11.10-
Fortinet3.11.0.02007.10.19-
F-Prot4.4.2.542007.11.09-
F-Secure6.70.13030.02007.11.09W32/Zlob.ARDM
IkarusT3.1.1.122007.11.10-
Kaspersky7.0.0.1252007.11.10-
McAfee51602007.11.09-
Microsoft1.30072007.11.10TrojanDownloader:Win32/Zlob
NOD32v226512007.11.10-
Norman5.80.022007.11.09W32/Zlob.ARDM
Panda9.0.0.42007.11.10-
Prevx1V22007.11.10-
Rising20.17.42.002007.11.10Trojan.DL.Win32.Zlob.def
Sophos4.23.02007.11.10Troj/Zlobar-Fam
Sunbelt2.2.907.02007.11.09-
Symantec102007.11.10-
TheHacker6.2.9.1222007.11.09-
VBA323.12.2.42007.11.08-
VirusBuster4.3.26:92007.11.10-
Webwasher-Gateway6.0.12007.11.10Trojan.Zlob.Gen

Additional information
File size: 114115 bytes
MD5: 4e80dbec3f5443397992f74c9b39b05b
SHA1: cdc2bda645b287a3c3c5736a8efc4722efbd80f8

Filtrando il report per soli positivi rilevati abbiamo:

File VideoAccessCodecInstall.exe received on 11.10.2007 08:59:04 (CET)
AntivirusVersionLast UpdateResult
AntiVir7.6.0.342007.11.09DR/Zlob.Gen
AVG7.5.0.5032007.11.09Downloader.Zlob
CAT-QuickHeal9.002007.11.09TrojanDownloader.Zlob.gen
ClamAV0.91.22007.11.10Trojan.Dropper-2557
F-Secure6.70.13030.02007.11.09W32/Zlob.ARDM
Microsoft1.30072007.11.10TrojanDownloader:Win32/Zlob
Norman5.80.022007.11.09W32/Zlob.ARDM
Rising20.17.42.002007.11.10Trojan.DL.Win32.Zlob.def
Sophos4.23.02007.11.10Troj/Zlobar-Fam
Webwasher-Gateway6.0.12007.11.10Trojan.Zlob.Gen

Additional information
File size: 114115 bytes
MD5: 4e80dbec3f5443397992f74c9b39b05b
SHA1: cdc2bda645b287a3c3c5736a8efc4722efbd80f8

Ritornando alla pagina con il falso player video questa presenta inoltre un riferimento ad altra pagina che a sua volta linka dopo alcuni passaggi ad altro codice malevolo.

La pagina Myspace di Alicia Keys invece sembra essere stata bonificata dal link al sito acilot.cn.
La cache di Google invece propone ancora la vecchia pagina con il link.

Anche in questo caso per caricare la pagina linkata occorre passare il referer del sito myspace al browser che carica acilot.cn. In caso contrario si riceve messaggio 404 dal server.
Inoltre se si tenta di caricare la pagina acilot.cn piu' di una volta dopo la prima si viene reindirizzati su myspace.

Edgar

Nessun commento: