mercoledì 16 gennaio 2008

Storm Loves You. Nuove mail storm worm in arrivo

NOTA: alcuni indirizzi ip e/o links citati nel post possono aprire pagine con malware, link a malware, javascripts che possono scaricare sul vostro pc malware; evitate quindi di aprire questi links a meno di non avere preso le dovute precauzioni (uso di noscript, sandboxie ..... ecc.....)

Sono iniziate ad arrivare mails che tentano di far scaricare sul computer una nuova variante del malware storm worm.
L'oggetto delle mails sembrerebbe adatto ad essere collegato alla festa di San Valentino anche se in anticipo rispetto alla data del 14 febbraio:

Falling In Love with You
Special Romance
You're In My Thoughts
Sent with Love
Our Love
Will Last Our Love is Strong
Your Love Has Opened
You're the One
A Toast My Love
Heavenly Love

mentre all'apertura del link, che in questo caso e' presente sul testo della mail come indirizzo IP numerico

abbiamo il caricamento della seguente pagina
il cui codice sorgente presenta il nome del file malware offuscato


Il file malevolo scaricato withlove.exe

Una analisi con Virus Total mostra che sono veramente molto pochi i software che riescono a identificare la minaccia

File withlove.exe received on 01.16.2008 02:21:29 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32008.1.16.102008.01.15-
AntiVir7.6.0.482008.01.15-
Authentium4.93.82008.01.15-
Avast4.7.1098.02008.01.15-
AVG7.5.0.5162008.01.15-
BitDefender7.22008.01.16-
CAT-QuickHeal9.002008.01.15-
ClamAV0.91.22008.01.15-
DrWeb4.44.0.091702008.01.15-
eSafe7.0.15.02008.01.15-
eTrust-Vet31.3.54612008.01.16-
Ewido4.02008.01.15-
FileAdvisor12008.01.16-
Fortinet3.14.0.02008.01.16-
F-Prot4.4.2.542008.01.15-
F-Secure6.70.13030.02008.01.15-
IkarusT3.1.1.202008.01.16-
Kaspersky7.0.0.1252008.01.16-
McAfee52082008.01.15-
Microsoft1.31092008.01.15-
NOD32v227942008.01.15a variant of Win32/Nuwar
Norman5.80.022008.01.16-
Panda9.0.0.42008.01.15-
Prevx1V22008.01.16Stormy:All Strains-All Variants
Rising20.27.12.002008.01.15-
Sophos4.24.02008.01.15-
Sunbelt2.2.907.02008.01.15-
Symantec102008.01.15-
TheHacker6.2.9.1872008.01.13-
VBA323.12.2.52008.01.15-
VirusBuster4.3.26:92008.01.15-
Webwasher-Gateway6.6.22008.01.15Win32.Malware.gen!88 (suspicious)

Additional information
File size: 114689 bytes
MD5: 41ea721145442f1b5f31bd788cd8c64a
SHA1: 1988e0f4f404941cf8d1874bde7fb3a883baa03b



Solo 3 antivirus riescono, al momento, a rilevare il codice pericoloso ma la situazione evolve rapidamente in quanto tutte le maggiori case che producono antivirus stanno aggiornando le firme di riconoscimento dei codici.
La variazione del codice malevolo non sembra, come succedeva altre volte , essere continua ad ogni download del file (in precedenza scaricando il file exe ogni volta veniva creata una variante del codice virale ) ma adesso passerebbero circa 30 minuti tra una nuova variante e la successiva.

Quando eseguito, il file malware withlove.exe genera sul pc colpito due nuovi files nascosti

C:\WINDOWS\system32\burito.ini
C:\WINDOWS\system32\burito4d1-6585.sys

dove le cifre esadecimali ed i numeri del file sys variano ad ogni nuovo caricamento del malware.

Faccio notare che sul medesimo IP risultano hostati 3 diversi files eseguibili (forse per diversificare l'offerta) e precisamente:

with_love.exe
withlove.exe
ed il sempre presente
sony.exe
tutti con contenuti malware simili.

Attualmente diversi indirizzi IP risultano attivi nella distribuzione del malware

# 92.80.105.5
# 92.81.116.188
# 92.80.105.5
# 24.210.161.135
# 80.74.59.103
#190.24.97.12

Si tratta di nodi della rete botnet fast flux di storm worm.

Curiosita':
Siamo vicini al primo compleanno di Storm Worm.
Infatti le prime mails che linkavano a Storm Worm hanno iniziato ad arrivare il 19 gennaio 2007.
Ricordo che il nome Storm Worm deriva dall'iniziale sistema utilizzato per diffondere il malware sfruttando un fatto di cronaca per attirare l'attenzione di chi riceveva l'email contenente l'allegato codice malevolo ed invogliarne l'apertura.
Mentre l’Europa era sferzata da violente tempeste (storm) , gli autori del worm hanno deciso di diffondere il proprio malware per mezzo di email che avevano per oggetto frasi del tipo “230 dead as storm batters Europe” (230 morti a causa della tempesta che infuria in Europa) con un allegato intitolato FullStory.exe o Video.exe.

Aggiornamenti
16 gennaio

Due nuovi IP si aggiungono alla lista precedente di indirizzi che linkano alla pagina con malware:
    # 75.36.203.254
    # 99.165.13.64
fonte http://temerc.com/phpBB2/viewtopic.php?t=3895

Per quanto si riferisce alla positivita' ai vari software antivirus presenti su Virus Total, nonostante ormai sia passato quasi 24 ore dalla comparsa del malware, siamo purtroppo ancora a livelli abbastanza bassi: 8 su 32.
Spicca ancora l'assenza di AV quali Kaspersky, McAfee, Microsoft .....

17 gennaio

Situazione nettamente migliorata come riconoscimento del malware da parte dei software antivirus.
Piu' della meta' dei programmi presenti in VT ora rileva il file pericoloso.

Edgar

Nessun commento: