Sunbelt blog riporta la notizia circa l'invio di mails di spam che invitano a scaricare screensavers .
Le pagine da cui scaricare questi falsi screensavers sono hostate all'interno di un sito, probabilmente compromesso unrivall.com/scr/
Per ogni screensaver e' presente una completa descrizione con alcune anteprime, tra l'altro il numero di salvaschermo tra cui scegliere e' elevato.
Il dubbio che si tratti si falsi programmi salvaschermo viene quasi subito al momento del download, infatti le dimensioni veramente ridotte del file, non basterebbero neanche a contenere una delle immagini proposte nelle anteprime presenti per ogni salvaschermo.
La cosa che poi conferma, i dubbi, e' che eseguendo un download di uno di questi screensavers piu' volte, il file eseguibile cambia sempre nome; ne vedete un esempio per il medesimo screensaver
Evidentemente non volendo predisporre un nome diverso per ogni file associato a diverso salvaschermo si e' provveduto a far generare in automatico un nome di file al momento del download o comunque si scarica in maniera random da un elenco di files predisposti.
Il fatto che possa trattarsi dello stesso file ridenominato in automatico al momento del download in maniera casuale e' confermato dal medesimo codice di hash per tutti i files scaricati.
Il fatto che possa trattarsi dello stesso file ridenominato in automatico al momento del download in maniera casuale e' confermato dal medesimo codice di hash per tutti i files scaricati.
Il file, esaminato con Virus Total mostra che pochi AV riescono ad individuare il pericolo.
Sembra persino strano che si sia realizzato un sito cosi dettagliato. come presentazione dei falsi screensavers, e poi lo si sia hostato utilizzando un sito compromesso, che potrebbe essere bonificato entro breve tempo, rendendo poco efficace la distribuzione del malware.
E' probabile che se cancellate dal sito attuale, le pagine che propongono i falsi screensavers ricompariranno su qualche altro dominio per continuare i tentativi di far scaricare codici pericolosi da chi riceve la mail di spam.
Edgar
Nessun commento:
Posta un commento