Le recenti notizie sulla botnet Kraken che, secondo alcuni, sarebbe molto piu' estesa e pericolosa di ogni altra botnet presente in rete, hanno fatto passare in secondo piano gli ultimi sviluppi della botnet Storm Worm che invece pare prepararsi a nuovi attacchi ad Internet.
Sudosecure.net tramite la collaborazione di Australian Honeynet Project pubblica una interessante lista di nuovi domini attivati in queste ore ed utilizzati dalla rete botnet fastflux di Storm Worm.
Per intenderci si tratta di domini, simili a quelli usati in passato (bnably, tibeam ecc,,,) che venivano linkati nelle mails di spam e reindirizzavano a pagine che tentavano di scaricare sul pc il pericoloso malware Storm Worm. (sono pagine che hostano malware e quindi da visitare con cautela)
Ecco l'elenco :
come si vede sono tutti registrati a societa' cinesi e su dominio sia .cn che .com.
Quasi tutti al momento risultano attivi ed hostano il falso codec video Storm Worm visto ieri e la quantita' di nuovi indirizzi e' tale da far ritenere, a chi scrive il post, che potremmo trovarci di fronte ad una grossa campagna di diffusione malware molto presto.
Un nslookup di uno di questi indirizzi mostra il solito TTL a zero. (IP che varia ad ogni load della pagina linkata su botnet fastflux)
Il fatto che al momento ci si limiti solo ad una semplice pagina con falso codec Storm Worm e senza utilizzare codici offuscati, ma tutto in chiaro , come si legge sull'articolo, forse e' solo una pausa in preparazione di qualcosa di piu' 'importante'
Comunque gia' da questa mattina, il codice malware che ieri era riconosciuto dalla quasi totalita' dei software antivirus e' stato modificato ed ora solo 11 software su 32 riconoscono il pericolo. (Kaspersky ad esempio che normalmente e' sempre uno dei primi a rilevare il malware adesso non lo evidenzia )
Inoltre pare che il codice pericoloso abbia ripreso a mutare ad ogni nuovo download e non come ieri quando sembrava che lo stesso codice non variasse ad un successivo download.
Sudosecure.net tramite la collaborazione di Australian Honeynet Project pubblica una interessante lista di nuovi domini attivati in queste ore ed utilizzati dalla rete botnet fastflux di Storm Worm.
Per intenderci si tratta di domini, simili a quelli usati in passato (bnably, tibeam ecc,,,) che venivano linkati nelle mails di spam e reindirizzavano a pagine che tentavano di scaricare sul pc il pericoloso malware Storm Worm. (sono pagine che hostano malware e quindi da visitare con cautela)
Ecco l'elenco :
come si vede sono tutti registrati a societa' cinesi e su dominio sia .cn che .com.
Quasi tutti al momento risultano attivi ed hostano il falso codec video Storm Worm visto ieri e la quantita' di nuovi indirizzi e' tale da far ritenere, a chi scrive il post, che potremmo trovarci di fronte ad una grossa campagna di diffusione malware molto presto.
Un nslookup di uno di questi indirizzi mostra il solito TTL a zero. (IP che varia ad ogni load della pagina linkata su botnet fastflux)
Il fatto che al momento ci si limiti solo ad una semplice pagina con falso codec Storm Worm e senza utilizzare codici offuscati, ma tutto in chiaro , come si legge sull'articolo, forse e' solo una pausa in preparazione di qualcosa di piu' 'importante'
Comunque gia' da questa mattina, il codice malware che ieri era riconosciuto dalla quasi totalita' dei software antivirus e' stato modificato ed ora solo 11 software su 32 riconoscono il pericolo. (Kaspersky ad esempio che normalmente e' sempre uno dei primi a rilevare il malware adesso non lo evidenzia )
Inoltre pare che il codice pericoloso abbia ripreso a mutare ad ogni nuovo download e non come ieri quando sembrava che lo stesso codice non variasse ad un successivo download.
Edgar
4 commenti:
Ora usa una pagina con alcuni exploit, invece di quella con il finto codec.
A quali domini ti riferisci ? Ho dato una occhiata alla lista di quelli made in China pubblicati prima e per il momento tutti, tranne NEWONEFORYOU.CN che e' OFFline, presentano solo, mi pare, il falso codec StormWorm (a meno che ci sia qualche iframe bnascosto che non vedo....)
I domini sono quelli della lista, ad es.
orthelike[DOT]com
limpodrift[DOT]cn
se usi Firefox compare la pagina del codec
Se usi IE (wget e user-agent
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1))
Scarica una pagina con exploit + codec.
L' URL dell'eseguibile è
orthelike[DOT]com//load.exe
La parte del codec è offuscata (secondo script nella pagina)
Grazie delle info
do una occhiata,
io uso di default firefox ed in effetti non vedevo gli exploit
Ho visto ora che dando il referer come explorer infatti saltano fuori i codici che dicevi.
Come MAC (safari) invece mi pare invece come con firefox ma devo veerificare meglio
Posta un commento