Si e' scritto molto, in questi giorni, di un nuovo sistema utilizzato per linkare a malware chi scaricasse un file multimediale audio all'interno del quale sia presente del codice che sfrutta la possibilita' di Windows Media Player di interpretare ed eseguire script o metadata.
Una esauriente analisi tecnica, in italiano, e' presente qui.
Vediamo invece una possibilita' molto piu semplice, molto piu' datata come tipologia di funzionamento, ma sempre , a mio avviso, estremamente attuale ed efficace in quanto indipendente dal tipo di player audio usato e difficilmente riconosciuta dagli antivirus in commercio.
In realta' si tratta di portare ad eseguire un file malware camuffato da file mp3 in maniera molto semplice ma che , sfruttando la possibilita' della doppia estensione, permette di nascondere la natura di codice eseguibile del falso mp3.
Questo il sito che propone un vastissimo catalogo di files musicali mp3 da cui possiamo scaricare con un click il pezzo che vogliamo ascoltare.
Proviamo ad esempio a selezionare un pezzo di una nota cantante USA il cui album e' presente in homepage
Come si vede bene, dalla finestra di avviso che ci propone il download si nota la presenza dell'estensione EXE che denota il file eseguibile ma, una volta salvato il file se andiamo ad esplorare il contenuto del folder , e l'opzione 'nascondi estensioni per files conosciuti' di Windows e' attiva, abbiamo visulaizzato un semplice file mp3.
In effetti la dimensione di soli 14 K del file dovrebbe comunque insospettire chi ha scaricato un file che sulla pagina di download e' indicato come di circa 4 mega.
A questo punto se si clicca sul file mp3 abbiamo l'attivazione del malware con tutte le conseguenze del caso, visto anche che gli antivirus che riconoscono la minaccia sono veramente pochi.
La pericolosita' di questo sistema utilizzato per diffondere malware sta' proprio nella bassa capacita' degli antivirus piu' conosciuti nel rilevare il pericolo. Si tratta infatti di malware abbastanza simile a quello che e' presente in maniera massiccia su falsi siti di player video e che viene camuffato da codec video o da player setup.
Una curiosita' sul sistema utilizzato dal falso sito di files musicali e' quella dell'attribuzione del nome del file in maniera automatica ridenominando sempre il medesimo file di base contenete il malware.
Se infatti si prova a modificare l'url passata al momento del caricamento del falso brano musicale
possiamo generare un file mp3.exe con un qualunque nome di fantasia come in questo caso molto attinente al pericolo presente.
Sicuramente un brano musicale molto pericoloso ...... :) anche notando i nomi importanti di softwares che NON rilevano la minaccia.
Un whois del sito punta a:
Edgar
Una esauriente analisi tecnica, in italiano, e' presente qui.
Vediamo invece una possibilita' molto piu semplice, molto piu' datata come tipologia di funzionamento, ma sempre , a mio avviso, estremamente attuale ed efficace in quanto indipendente dal tipo di player audio usato e difficilmente riconosciuta dagli antivirus in commercio.
In realta' si tratta di portare ad eseguire un file malware camuffato da file mp3 in maniera molto semplice ma che , sfruttando la possibilita' della doppia estensione, permette di nascondere la natura di codice eseguibile del falso mp3.
Questo il sito che propone un vastissimo catalogo di files musicali mp3 da cui possiamo scaricare con un click il pezzo che vogliamo ascoltare.
Proviamo ad esempio a selezionare un pezzo di una nota cantante USA il cui album e' presente in homepage
Come si vede bene, dalla finestra di avviso che ci propone il download si nota la presenza dell'estensione EXE che denota il file eseguibile ma, una volta salvato il file se andiamo ad esplorare il contenuto del folder , e l'opzione 'nascondi estensioni per files conosciuti' di Windows e' attiva, abbiamo visulaizzato un semplice file mp3.
In effetti la dimensione di soli 14 K del file dovrebbe comunque insospettire chi ha scaricato un file che sulla pagina di download e' indicato come di circa 4 mega.
A questo punto se si clicca sul file mp3 abbiamo l'attivazione del malware con tutte le conseguenze del caso, visto anche che gli antivirus che riconoscono la minaccia sono veramente pochi.
La pericolosita' di questo sistema utilizzato per diffondere malware sta' proprio nella bassa capacita' degli antivirus piu' conosciuti nel rilevare il pericolo. Si tratta infatti di malware abbastanza simile a quello che e' presente in maniera massiccia su falsi siti di player video e che viene camuffato da codec video o da player setup.
Una curiosita' sul sistema utilizzato dal falso sito di files musicali e' quella dell'attribuzione del nome del file in maniera automatica ridenominando sempre il medesimo file di base contenete il malware.
Se infatti si prova a modificare l'url passata al momento del caricamento del falso brano musicale
possiamo generare un file mp3.exe con un qualunque nome di fantasia come in questo caso molto attinente al pericolo presente.
Sicuramente un brano musicale molto pericoloso ...... :) anche notando i nomi importanti di softwares che NON rilevano la minaccia.
Un whois del sito punta a:
Edgar
Nessun commento:
Posta un commento