martedì 12 febbraio 2008

Storm Worm nullo a Virus Total


Come abbiamo visto ieri, le pagine che distribuiscono Storm Worm sono cambiate ma sembrava che il codice del malware presente, a parte il nome valentine.exe, non fosse molto diverso dal precedente with_love.exe.
Questa mattina invece, analizzando il file che viene scaricato dalle pagine Storm ( ed anche il sempre presente file malware sony.exe ) il risultato ad una scansione con Virus Total e' ben diverso.

Come si puo vedere i due files (valentine.exe e sony.exe) sembrerebbero assolutamente privi di potenzialita' pericolose , a parte un sospetto, segnalato da E-Safe
Al limite verrebbe quasi da pensare che sia stato immesso un codice privo di pericoli per creare un po di confusione.

Non credo che sia proprio cosi', ma evidentemente oltre che alla nuova pagina si e' immesso in rete un nuovo codice malware che al momento risulta praticamente non rilevabile.

Una analisi con Anubis non ci aiuta a capire il tipo di malware presente in quanto le info restituite sono praticamente nulle

Anche Norman sandobox sembra non rilevare niente di pericoloso al riguardo del file:

valentine.exe : Not detected by Sandbox (Signature: NO_VIRUS)
----------------------------------------------------------------------
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK [ General information ]
* File length: 120321 bytes.
* MD5 hash: 197bcf751cf318ad26ba84cd28c0ae19.
-----------------------------------------------------------------------

Qualcosa di piu' riesce a dirci la sandbox di Sunbelt che rileva la creazione del file diperto.ini da parte del malware e varie attivita' sul file registro.

Lo stesso vale per il file sony.exe che probabilmente e' solo la versione ridenominata di valentine.exe

Staremo a vedere se nelle prossime ore le case produttrici di antivirus aggiornerano la capacita ai loro software per rilevare i files pericolosi hostati dalle pagine Storm Worm.
Sembra che, al momento, chi attivasse sul proprio pc il file eseguibile valentine.exe ha poche probabilita' che l'antivirus che usa rilevi il pericolo e blocchi il malware.


Aggiornamento 12/o2 ore 16

A qualche ora dalla comparsa della nuova versione del malware alcuni software, per la verita' molto pochi (3 +1 come file sospetto) , iniziano a rilevare il pericolo.

Kaspersky,Sophos, e F Secure, come gia successo in particolare per Kaspersky altre volte , risultano tra i produttori piu' veloci ad aggiornare il software.

Probabilmente assisteremo nelle prossime ore ad un aumento dei softwares che riconoscono il malware ed anche la consueta altalena tra rilevamenti positivi e negativi da parte dei singoli softwares.

Edgar

Nessun commento: