Diversi siti pubblicano oggi in rete dettagli sulla nuova campagna di spam che linka a Storm Worm tra cui Dancho Danchev's Blog e sudosecure.net
Le mails sembrano , comunque, come sempre, essere indirizzate ad una utenza internet USA o comunque di lingua inglese.
Al momento sono attive le seguenti pagine a questi indirizzi
cadeaux-avenue(dot)cn
polkerdesign(dot)cn
tellicolakerealty(dot)cn
Ecco lo scarno contenuto della pagina
ed il relativo codice
dove si nota il download in automatico dopo 5 secondi di iloveyou.exe oppure se si clicca sul link il download del file loveyou.exe entrambi malwareE' anche presente l'immancabile sony.exe, non nel codice ma scaricabile se si linka nella url, sempre contenente il pericoloso malware.
Questo il testo di alcune mails di spam con oggetto la vendita di viagra e simili medicinali o links a siti porno e che in realta' linkano alle pagine StormWorm contenenti il malware
Al momento una analisi con Virus Total mostra, come sempre, la bassa percentuale di softwares che evidenziano la minaccia nel file scaricato.
Ed ecco un report generato da uno script autoit che mostra alcuni whois relativi ad uno dei domini storm e precisamente cadeaux-avenue(dot)cn che utilizzando la tecnologia della botnet fastflux linka a differenti pc compromessi sparsi nel mondo
Come al solito, sembrano comunque essere piu' numerosi i riferimenti ad IP relativi a pc locati in USA .
L'ipotesi di questo ritorno di StormWorm ad un sistema di “Social Engineering” per cercare di far scaricare il malware sul proprio computer viene spiegato da alcuni come un tentativo di rivitalizzare la rete botnet storm worm che sembra ultimamente essersi notevolmente ridimensionata.
Come al solito evitate sempre di aprire i links indicati nel post se non avete provveduto ad utilizzare adeguati sistemi di blocco degli script e del malware. (ad esempio addon NOSCRIPT su Firefox e Sandboxie)
Edgar
Nessun commento:
Posta un commento