Sono iniziate ad arrivare mails che tentano di far scaricare sul computer una nuova variante del malware storm worm.
L'oggetto delle mails sembrerebbe adatto ad essere collegato alla festa di San Valentino anche se in anticipo rispetto alla data del 14 febbraio:
Falling In Love with You
Special Romance
You're In My Thoughts
Sent with Love
Our Love
Will Last Our Love is Strong
Your Love Has Opened
You're the One
A Toast My Love
Heavenly Love
mentre all'apertura del link, che in questo caso e' presente sul testo della mail come indirizzo IP numerico
abbiamo il caricamento della seguente pagina
il cui codice sorgente presenta il nome del file malware offuscato
Il file malevolo scaricato withlove.exe
Una analisi con Virus Total mostra che sono veramente molto pochi i software che riescono a identificare la minaccia
| File withlove.exe received on 01.16.2008 02:21:29 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2008.1.16.10 | 2008.01.15 | - |
| AntiVir | 7.6.0.48 | 2008.01.15 | - |
| Authentium | 4.93.8 | 2008.01.15 | - |
| Avast | 4.7.1098.0 | 2008.01.15 | - |
| AVG | 7.5.0.516 | 2008.01.15 | - |
| BitDefender | 7.2 | 2008.01.16 | - |
| CAT-QuickHeal | 9.00 | 2008.01.15 | - |
| ClamAV | 0.91.2 | 2008.01.15 | - |
| DrWeb | 4.44.0.09170 | 2008.01.15 | - |
| eSafe | 7.0.15.0 | 2008.01.15 | - |
| eTrust-Vet | 31.3.5461 | 2008.01.16 | - |
| Ewido | 4.0 | 2008.01.15 | - |
| FileAdvisor | 1 | 2008.01.16 | - |
| Fortinet | 3.14.0.0 | 2008.01.16 | - |
| F-Prot | 4.4.2.54 | 2008.01.15 | - |
| F-Secure | 6.70.13030.0 | 2008.01.15 | - |
| Ikarus | T3.1.1.20 | 2008.01.16 | - |
| Kaspersky | 7.0.0.125 | 2008.01.16 | - |
| McAfee | 5208 | 2008.01.15 | - |
| Microsoft | 1.3109 | 2008.01.15 | - |
| NOD32v2 | 2794 | 2008.01.15 | a variant of Win32/Nuwar |
| Norman | 5.80.02 | 2008.01.16 | - |
| Panda | 9.0.0.4 | 2008.01.15 | - |
| Prevx1 | V2 | 2008.01.16 | Stormy:All Strains-All Variants |
| Rising | 20.27.12.00 | 2008.01.15 | - |
| Sophos | 4.24.0 | 2008.01.15 | - |
| Sunbelt | 2.2.907.0 | 2008.01.15 | - |
| Symantec | 10 | 2008.01.15 | - |
| TheHacker | 6.2.9.187 | 2008.01.13 | - |
| VBA32 | 3.12.2.5 | 2008.01.15 | - |
| VirusBuster | 4.3.26:9 | 2008.01.15 | - |
| Webwasher-Gateway | 6.6.2 | 2008.01.15 | Win32.Malware.gen!88 (suspicious) |
| Additional information | |||
| File size: 114689 bytes | |||
| MD5: 41ea721145442f1b5f31bd788cd8c64a | |||
| SHA1: 1988e0f4f404941cf8d1874bde7fb3a883baa03b | |||
Solo 3 antivirus riescono, al momento, a rilevare il codice pericoloso ma la situazione evolve rapidamente in quanto tutte le maggiori case che producono antivirus stanno aggiornando le firme di riconoscimento dei codici.
La variazione del codice malevolo non sembra, come succedeva altre volte , essere continua ad ogni download del file (in precedenza scaricando il file exe ogni volta veniva creata una variante del codice virale ) ma adesso passerebbero circa 30 minuti tra una nuova variante e la successiva.
Quando eseguito, il file malware withlove.exe genera sul pc colpito due nuovi files nascosti
C:\WINDOWS\system32\burito.ini
C:\WINDOWS\system32\burito4d1-6585.sys
dove le cifre esadecimali ed i numeri del file sys variano ad ogni nuovo caricamento del malware.
Faccio notare che sul medesimo IP risultano hostati 3 diversi files eseguibili (forse per diversificare l'offerta) e precisamente:
with_love.exe
withlove.exe
ed il sempre presente
sony.exe
tutti con contenuti malware simili.
Attualmente diversi indirizzi IP risultano attivi nella distribuzione del malware
# 92.80.105.5
# 92.81.116.188
# 92.80.105.5
# 24.210.161.135
# 80.74.59.103
#190.24.97.12
Curiosita':
Siamo vicini al primo compleanno di Storm Worm.
Infatti le prime mails che linkavano a Storm Worm hanno iniziato ad arrivare il 19 gennaio 2007.
Ricordo che il nome Storm Worm deriva dall'iniziale sistema utilizzato per diffondere il malware sfruttando un fatto di cronaca per attirare l'attenzione di chi riceveva l'email contenente l'allegato codice malevolo ed invogliarne l'apertura.
Mentre l’Europa era sferzata da violente tempeste (storm) , gli autori del worm hanno deciso di diffondere il proprio malware per mezzo di email che avevano per oggetto frasi del tipo “230 dead as storm batters Europe” (230 morti a causa della tempesta che infuria in Europa) con un allegato intitolato FullStory.exe o Video.exe.
Aggiornamenti
16 gennaio
Due nuovi IP si aggiungono alla lista precedente di indirizzi che linkano alla pagina con malware:
- # 75.36.203.254
# 99.165.13.64
Per quanto si riferisce alla positivita' ai vari software antivirus presenti su Virus Total, nonostante ormai sia passato quasi 24 ore dalla comparsa del malware, siamo purtroppo ancora a livelli abbastanza bassi: 8 su 32.
Spicca ancora l'assenza di AV quali Kaspersky, McAfee, Microsoft .....17 gennaio
Situazione nettamente migliorata come riconoscimento del malware da parte dei software antivirus.
Piu' della meta' dei programmi presenti in VT ora rileva il file pericoloso.Edgar
Nessun commento:
Posta un commento