La tecnica di utilizzare ricorrenze per cercare di trarre in inganno chi naviga in internet continua.
Il primo di Aprile, per gli inglesi April fool's day, viene ora utilizzato dalla nuova variante della pagina Storm Worm comparsa appunto in rete in coincidenza del primo di Aprile.
Il sistema usato e' il solito, cioe' mails con testo che propone di vistare un sito creato appositamente e che viene linkato tramite un indirizzo IP variabile ad un computer compromesso dal noto StormWorm.
Un esempio del semplice testo :
Doh! April’s Fool. http://xx.121.253.168/
Questa la pagina che appare seguendo il link e che propone diversi files malware.
Questi i nomi dei files
Il file sony.exe e' sempre presente in tutte le varianti delle pagine StormWorm da molto tempo ma non ne e' mai stato proposto il download mentre gli altri 3 files sono scaricabili tramite i vari links presenti in pagina.
A parte i diversi nomi si stratta sempre del medesimo codice che , come sempre quando compare una nuova variante di StormWorm , non viene riconosciuto dalla maggior parte degli antivirus.
Una analisi con Anubis dimostra che il worm, una volta in esecuzione e' molto attivo nel creare diversi eseguibili.
Uno dei primi e' costituito da "aromis.exe" nella cartella c: \ windows a cui seguono tentativi di collegamento al server attraverso varie porte ed anche la modifica delle impostazioni del firewall. Questi primi passaggi sembrano insoliti rispetto ai precedenti comportamenti di StormWorm.
Questo il codice della pagina dove si notano i vari files linkati
Come sempre l'utenza a cui si rivolge questo tipo di spam con link a malware e' principalmente quella USA o comunque di lingua inglese vista la natura dei messaggi di mail e delle pagine proposte..
In ogni caso, rimane interessante notare come la diffusione di StormWorm e relativa botnet siano sempre ben attive nonostante le notizie di un po di tempo fa dove sembrava che ne fossero stati individuati i responsabili.
Edgar
Il primo di Aprile, per gli inglesi April fool's day, viene ora utilizzato dalla nuova variante della pagina Storm Worm comparsa appunto in rete in coincidenza del primo di Aprile.
Il sistema usato e' il solito, cioe' mails con testo che propone di vistare un sito creato appositamente e che viene linkato tramite un indirizzo IP variabile ad un computer compromesso dal noto StormWorm.
Un esempio del semplice testo :
Doh! April’s Fool. http://xx.121.253.168/
Questa la pagina che appare seguendo il link e che propone diversi files malware.
Questi i nomi dei files
Il file sony.exe e' sempre presente in tutte le varianti delle pagine StormWorm da molto tempo ma non ne e' mai stato proposto il download mentre gli altri 3 files sono scaricabili tramite i vari links presenti in pagina.
A parte i diversi nomi si stratta sempre del medesimo codice che , come sempre quando compare una nuova variante di StormWorm , non viene riconosciuto dalla maggior parte degli antivirus.
Una analisi con Anubis dimostra che il worm, una volta in esecuzione e' molto attivo nel creare diversi eseguibili.
Uno dei primi e' costituito da "aromis.exe" nella cartella c: \ windows a cui seguono tentativi di collegamento al server attraverso varie porte ed anche la modifica delle impostazioni del firewall. Questi primi passaggi sembrano insoliti rispetto ai precedenti comportamenti di StormWorm.
Questo il codice della pagina dove si notano i vari files linkati
Come sempre l'utenza a cui si rivolge questo tipo di spam con link a malware e' principalmente quella USA o comunque di lingua inglese vista la natura dei messaggi di mail e delle pagine proposte..
In ogni caso, rimane interessante notare come la diffusione di StormWorm e relativa botnet siano sempre ben attive nonostante le notizie di un po di tempo fa dove sembrava che ne fossero stati individuati i responsabili.
Edgar
Nessun commento:
Posta un commento