mercoledì 9 aprile 2008

Storm worm cambia ancora

Nuova modifica delle pagine storm worm con la comparsa di un invito a scaricare un falso video codec.
Questa la pagina raggiungibile tramite links presenti in mails di spam:

e questo il source dove si nota che il titolo della pagina e' rimasto invece legato alla precedente pagina storm..

Questi i tre file eseguibili, (sony.exe hostato sulla pagina ma come sempre non linkato direttamente)


che, a differenza di altre volte, sono riconosciuti da un buon numero do softwares antivirus.


Come curiosita' c'e' da dire che esiste realmente un codec, anzi una raccolta di codec video, che prende un nome simile
Questa la pagina di Softpedia che distribuisce il file dei codec.

La dimensione del file della raccolta di codec e' pero' di circa 23 mega contro i pochi k del file malware storm..

Sembra pero' che, ironia della sorte, anche nel caso di questa raccolta di codec, ci siano stati alcuni casi in cui scaricando il file da server .cn venisse inserito nella stessa raccolta anche del contenuto malware

come si legge su questo blog.

Questo conferma che la relazione tra codec video e malware e' abbastanza stretta; sono infatti numerosi i siti che distribuiscono file pericolosi sotto forma di falsi codec video.

Il consiglio e' quindi sempre quello di verificare il contenuto di codec video che non si conoscono prima di eseguirne l installazione sul pc onde evitare possibili problemi.

Aggiornamento

La pagina del falso codec Storm Worm e' ora anche online sul domino fastflux supersameas(dot)com

Una veloce analisi con lo script Autoit che esegue una serie di whois in sequenza sull'indirizzo della pagina riporta il seguente report che raggruppa gli IP rilevati per nazione.


dove si nota la solita prevalenza di domini USA coinvolti nella botnet StormWorm anche se il time del rilevamento corrisponde tra le 2 e le 5 AM USA quando si presume che una parte di computer infetti dal worm potrebbe essere OFFLINE.
Come sempre ricordo che nel report non sono filtrati IP identitici e quindi uno stesso IP potrebbe comparire piu' volte e di conseguenza essere conteggiato piu volte.
In pratica il numero indica quante volte un IP appartenente ad una nazione e' comparso facendo un whois dell'indirizzo del sito fastflux storm worm supersameas(dot)com.
In ogni caso dovrebbe dare una idea delle nazioni che hanno il maggior numero di computer che , essendo compromessi dal worm, hostano il link alla pagina con malware.
Ricordo anche che al variare dell'orario del test varia anche la percentuale di computers infetti per nazione, ma in ogni caso la maggiore quantita' di macchine compromesse risulta sempre in USA.
Come sempre avverto che supersameas(dot)com linka ad una pagina contenente malware e quindi sconsiglio di visitarla senza aver preso le dovute precauzioni.

Edgar

Nessun commento: