martedì 3 giugno 2008

Aggiornamento StormWorm

In queste ore sono presenti in rete mails che linkano ad una nuova pagina StormWorm
Il messaggio della mail e' molto stringato


ed invita a cliccare su un link (fornito come indirizzo IP) che visualizza una pagina molto semplice contenente, a sua volta,un link al file malware Loveyou.exe.

Mentre in passato abbiamo visto mails StormWorm che contenevano links ma anche codici offuscati per occultare nel migliore dei modi i contenuti pericolosi adesso il codice e' veramente ridotto ai minimi termini.

In pratica non abbiamo neanche il tentativo di scaricare in automatico il malware ma solo un link cliccabile che punta a loveyou.exe.
Da molte parti si interpreta questo come segno di un costante ridimensionamento di StormWorm che potrebbe condurre in futuro ad una sua probabile scomparsa a vantaggio di altre botnet, che si stanno diffondendo adesso, forse ancora piu' pericolose (es. la Asprox Botenet)

Inoltre, a differenza di altre volte, sembra che il sempre presente file malware sony.exe che accompagnava gli altri files linkati dalle mails Storm non sia presente
In ogni caso il codice pericoloso contenuto nel file eseguibile loveyou.exe e' , come sempre, quasi del tutto sconosciuto agli antivirus come si vede da un report di Virus Total.

Edgar

2 commenti:

Juninho85 ha detto...

ancora non sono state ripulite le pagine...ci tengo a precisare che ho segnalato la cosa a datasport alle ore 20 del 1 giugno,penso non ci sia bisogno di aggiungere altro

Edgar Bangkok ha detto...

Credo comunque che almeno il 50% del casi in cui non bonificano i siti compromessi sia dovuto agli indirizzi di mails che mettono sul sito per contatti, info e comunicazioni a webmaster che in realta' corrispondo a caselle di posta che non vengono verificate o peggio sono indirizzi di mails che neanche sanno di avere. :)