martedì 22 luglio 2008

La fine del dollaro secondo StormWorm

La fantasia dei creatori di pagine contenenti links a malware e collegate alla botnet StormWorm non conosce limiti.

In queste ore risulta online un nuovo layout di pagina StormWorm che tenta di far scaricare il malware attraverso una clamorosa news dell'ultima ora, questa volta di carattere economico-finanziario

Il testo presente nella pagina informa dell'inizio da parte del governo americano della sostituzione del dollaro con una nuova valuta chiamata AMERO (vedi nota) che verra' adottata anche da Canada e Messico, e tutto questo per combattere la crisi finanziaria in cui versa l'economia mondiale.

Il testo prosegue invitando a cliccare sull'immagine della nuova moneta presente nella pagina per avere maggiori dettagli su come procedera' la sostituzione del dollaro USA con la nuova valuta.
Naturalmente, cliccando sul link presente sull'immagine della moneta viene proposto il download di un file eseguibile chiamato amero.exe che una decina di softwares av in Virus Total evidenziano come malware.


Inoltre, come si vede dal sorgente della pagina,

e' presente, come nelle recenti pagine StormWorm anche un link al 'solito' codice offuscato che deoffuscato mostra una serie di exploits

che sfruttano alcune vulnerabilita' di players multimediali.

Probabilmente a breve seguira' l'invio di mails di spam con il link a questa nuova pagina StormWorm per cercare, come sempre, di diffondere il piu' possibile il nuovo malware allo scopo di 'potenziare' ancora di piu' il numero di computers compromessi da utilizzare nella nota botnet.

Nota:
Pare che l'idea di una valuta comune ai tre paesi del Nord America (AMERO) sia comunque reale e non frutto della fantasia dei creatori delle pagine StormWorm.
Su Wikipedia e' possibile trovare un riferimento (in italiano) a questa idea di valuta comune tra USA, Canada e Messico ispirata al modello della moneta dell'Unione Europea,l'EURO.

Edgar

2 commenti:

Blog su blogger di Tescaro ha detto...

Buongiorno mi rivolgo a voi perchè ho notato che siete esperti nel genere. Da qualche settimana nel mio blog si apre una finestra strana popup con una pubblicità che invita a linkare. Ho provato a passare l'antivirus, Spybot ma senza esito. La finestra invita al sito http://it.cashbacky.com/ cosa mi suggerite di fare per risolvere il problema? il mio blog è: http://tescaro.blogspot.com/

Grazie anticipate Tiziano

Edgar Bangkok ha detto...

Ho dato una occhiata al blog ed usando Internet Explorer si apre in effetti anche a me un popup pubblicitario anche se non tutte le volte (sembra che esca in maniera randm)
Dato che nel codice del tuo blog non mi pare ci siano links diretti a qualche sito che propone popup publictari ho analizzato il log della connessione quando si carica il blog.
Nella connessione effettuata quando si carica il blog risultano presenti molte chiamate a diversi domini Bravenet (come d'altronde logico in quanto vedo che utilizzi nel blog diversi link a servizi Bravenet) Host: mercury.bravenet.com; mars.bravenet.com ecc......
Succeessivamente viene eseguito un
GET /cgi-bin/traffic/incoming/redir2b.cgi <------- link
Accept: application/x-shockwave-flash, image/gif, i..........
Referer: http://tescaro.blogspot.com/
Accept-Language: en-us
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: www.adminder.com <----- link
Connection: Keep-Alive

Come si vede chiaramente si linka a www.adminder.com/cgi-bin/traffic/incoming/redir2b.cgi che poi non e' altro che il contenuto del popup che appare sul blog.(provando il link si apre una pagina con i contenuti del popup)
Ora, dato che tra i testimonials di Bravenet (http://www.bravenetmedianetwork.com/testimonials.php) esite, guarda caso proprio adminder.com probabilmente la comparsa del popu non e' altro che il ridultato di un collegamento restituito in automatico quando carichi un link Bravenet che hai sul tuo blog.
Ti consiglio di provare ad eliminare momentaneamente gli scripts dei servizi Bravenet che hai aggiunto al blog e verificare se il problema si risolve.
C'e' anche da dire che Bravenet per poter offrire un servizio gratuito deve in qualche modo avere un ritorno pubblicitario e quindi probabilmente i popup sono quello che si deve sopportare per usufruire del servizio free di Bravenet.
Saluti.
Edgar