venerdì 1 agosto 2008

Aggiornamento SPAM con link a malware

Continuano le mails di spam che linkano alle pagine inserite all'interno di siti in maniera nascosta e contenenti il falso setup di Flash player.
Questo un elenco delle ultime mails ricevute (una in data odierna)

Questa la mail:


Sia l'oggetto che il messaggio in questo caso presentano riferimenti al candidato alla presidenza USA, Obama e link a pagina nascosta su sito tedesco compromesso.

La pagina proposta dalla mail ospita oltre al link per scaricare il falso player flash (malware riconosciuto adesso da circa il 50% dei software VT) anche un iframe con link a codice exploits.

E' interessante vedere come il codice degli exploits presenti sia molto simile a quello gia' visto in passato su domini StormWorm

Un interessante e recente testo in formato PDF scaricabile da spamwars.com, illustra alcune caratteristiche del codice malevolo e ne evidenzia le funzioni


che tentano di eseguire il malware utilizzando differenti software presenti sul pc colpito.

Edgar

4 commenti:

Sbronzo di Riace ha detto...

cosa mi dici di questo?

hxxp://www.barilive.it/

falso positivo o c'è davvero uno script maligno come sembra indicare antivir

link alterato

Edgar Bangkok ha detto...

Ho dato una rapida occhiata alla pagina ed al codice
Ci sono parecchi scripts ma non mi pare ci sia niente di pericoloso
Anche una scansione con Kaspersky non trova niente di anormale
Inoltre vedendo cosa succede durante la connessione al sito usando explorer e dando una occhiata allo scambio dei dati tra pc e server ci sono solo normali connessioni al server che ospita il sito ed ad altri due domini sempre .it
Dovrebbe essere solo un falso positivo, almeno al momento che ho verificato io.

Sbronzo di Riace ha detto...

questo è il messaggio della webguard di antivir

When accessing data from the URL, "http://www.barilive.it/WebResource.axd?d=ysui8lrxYii
F3oQUA79cpyJx2K9NCuzSSfbBsS15TD-lW5QOKRRDV5A9BHu7MBb5rQzDOh
YaeIW_S46UERtRXA2&t=633149979880000000"
a virus or unwanted program 'JS/Agent.6300' [virus] was found.
Action taken: Blocked file

Edgar Bangkok ha detto...

Ho scaricato lo script offuscato e l'ho esaminato con Virus total
Ci sono 4 Av che lo rilevano, 2 come malware generico e 2 come script agent
A questo punto l'ho decodificato e si vede un insieme di funzioni per gestire player video ecc...
In ogni caso se mando il file che ho deoffuscato a Virus Total nessun antivirus lo vede come pericoloso
Potrebbe anche essere che alcuni AV, visto che e' codice java offuscato, lo interpretano come se fosse un file malware anche se poi non fa niente di pericoloso