martedì 27 novembre 2007

Il ritorno del typo-squatting italiano

Qualche mese fa' avevo pubblicato un post al riguardo del problema del typo squatting, cioe' di quei siti creati volutamente con una URL simile a quella del sito originale, per approfittare degli errori di digitazione nel browser e reindirizzare la navigazione internet a siti che linkano quasi sempre a files eseguibili contenenti malware.

Una lista in formato PDF di siti italiani di typo-squatting e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.

Partendo da questa lista avevo anche creato un file .TXT compatibile con il programma HostMan. (Il file txt di url typo-squatting compatibile con HostMan lo trovate qui)

Da allora, per qualche mese, per essendo online i siti con url typo-squatting digitando uno di questi indirizzi fasulli non si veniva reindirizzati ad alcun sito, mentre precedentemente si veniva reindirizzati su vvv.ragzze-spiate.com e da qui ad altre pagine con malware.

Una verifica eseguita oggi, ha invece mostrato, che il sito ragazze-spiate e' tornato attivo, anche se con differente layout e chiaramente differente malware allegato.

Il whois del sito punta a server USA (IP 75.126.144.219) (range 75.126.0.0 - 75.126.255.255 SoftLayer Technologies Inc. USA) mentre il whois del server su cui e' hostato il malware punta sempre a server USA ( IP 74.53.110.2) (Range = ThePlanet.com USA 74.52.0.0 - 74.53.255.255) che, guarda caso, e' sempre quel ThePlanet che abbiamo gia' visto nel precedente post dei falsi siti Blogger.

Esaminiamo cosa succede digitando ad esempio www.corrriere.it (3 r ) la pagina che ora si apre e' questa :
Intanto possiamo vedere che nel codice e' presente una istruzione del tipo:

che tenta di installare all'apertura, se usiamo Internet Explorer, il file accesso-contenuti.exe che Virus Total rileva come:

File accesso-contenuti.exe received on 11.26.2007 16:39:39 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir---
Authentium--Possibly a new variant of W32/new-malware!Maximus
Avast---
AVG--Win32/PEStealth
BitDefender--Dropped:Trojan.Sdel.B
CAT-QuickHeal--(Suspicious) - DNAScan
ClamAV---
DrWeb--Trojan.DownLoader.29809
eSafe--suspicious Trojan/Worm
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/new-malware!Maximus
F-Secure--Trojan.Win32.Agent.aox
Ikarus---
Kaspersky--Trojan.Win32.Agent.aox
McAfee---
Microsoft--Worm:Win32/Semail.A
NOD32v2--a variant of Win32/Semail
Norman---
Panda--W32/Semail.A.worm
Prevx1--Heuristic: Suspicious Self Modifying EXE
Rising---
Sophos--Mal/HckPk-D
Sunbelt--VIPRE.Suspicious
Symantec---
TheHacker---
VBA32--suspected of Malware.Delf.18
VirusBuster---
Webwasher-Gateway--Worm.Win32.Malware.gen (suspicious)

Additional information
MD5: 061ec2c78983991763522499cd8e71ee

Inoltre tutte le immagini ed i link della pagina se cliccati (su qualunque browser) attivano il download del file accessocontenuti.exe che si viene invitati a scaricare ed installare per avere l'accesso a tutti i contenuti del sito

File accessocontenuti.exe received on 11.27.2007 10:40:42 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V3---
AntiVir---
Authentium--Possibly a new variant of W32/new-malware!Maximus
Avast---
AVG--Win32/PEStealth
BitDefender--Dropped:Trojan.Sdel.B
CAT-QuickHeal--(Suspicious) - DNAScan
ClamAV---
DrWeb--Trojan.DownLoader.29809
eSafe--suspicious Trojan/Worm
eTrust-Vet---
Ewido---
FileAdvisor---
Fortinet---
F-Prot--W32/new-malware!Maximus
F-Secure--Trojan.Win32.Agent.aox
Ikarus---
Kaspersky--Trojan.Win32.Agent.aox
McAfee---
Microsoft--Worm:Win32/Semail.A
NOD32v2--a variant of Win32/Semail
Norman---
Panda--W32/Semail.A.worm
Prevx1--Heuristic: Suspicious Self Modifying EXE
Rising---
Sophos--Mal/HckPk-D
Sunbelt--VIPRE.Suspicious
Symantec---
TheHacker---
VBA32--suspected of Malware.Delf.18
VirusBuster---
Webwasher-Gateway--Worm.Win32.Malware.gen (suspicious)

Additional information
MD5: b254027b7963e8e27a8de5ebe9426aec

accessocontenuti.exe presenta la stessa tipologia di malware del file accesso-contenuti.exe.

Nel codice e' anche presente un link ad un'altra pagina, che pero' nel mio caso non si attivava, ma che andando a verificare nel browser presenta un elenco di videochat che anche in questo caso linkano tutte al file hostato su latte11/mocahost.com



A titolo di prova ho utilizzato, per verificare il file malevolo accessocontenuti.exe anche il servizio offerto dal sito Anubis dell' Universita di Vienna http://analysis.seclab.tuwien.ac.at/index.php

Anubis e' uno strumento per analizzare il comportamento di eseguibili Windows con particolare attenzione all'analisi di files malware e da quanto si legge sembra che sia stata posta particolare attenzione al fatto che molti malware possono riconoscere l'ambiente virtuale nel quale vengono eseguiti e comportarsi di conseguenza. (http://analysis.seclab.tuwien.ac.at/features.php)
Questa la tabella comparativa delle caratteristiche di Anubis. Rispetto a softwares similari:

A differenza di Virus Total, Anubis verifica cosa succede eseguendo il file malware e genera un lunghissimo report di cui potete vedere una piccola parte nella videata qui sotto.

Non si tratta di un elenco di nomi di antivirus con il relativo nome del virus trovato come su Virus Total ma piuttosto di un dettagliato report su come agisce il malware al momento della sua attivazione in Windows e cioe' le modifiche al file registro, i files creati, i file eventualmente sostituiti dal programma malevolo, ecc.ecc...
E' comunque utile per avere qualche dato in piu' sul file pericoloso trovato, ricordando sempre che ormai, molti dei malware in circolazione, riescono a riconoscere l'ambiente in cui sono eseguiti e se rilevano ad esempio un ambiente con s.o. virtualizzato possono modificare il loro comportamento rispetto a quando vanno in run su un normale pc.

Tornando ai falsi siti typo-squatting sembra quindi che, al momento, tutte le URL, pubblicate da Sunbelt siano ritornate attive e presentino nuovamente un rischio per chi naviga in rete.

Edgar

1 commento:

maverick ha detto...

interessante il sito di analisi. Una cosa simili la fa la sandbox di sunbelt