martedì 30 settembre 2008

Aggiornamento malware MSCodecLite.7.exe ( ex MultyCodecUpgr.7.exe ) 30 settembre

Continua il costante 'aggiornamento' del codice malware contenuto in MSCodecLite.7.exe ( ex MultyCodecUpgr.7.exe ) che ha visto sempre veramente limitato il numero di softwares che, a qualche ora da una nuova 'mutazione' del malware, riescono a rilevare il pericolo.

Al momento nuovamente solo 2 softwares riconoscono la minaccia come generico malware o file sospetto:

C'e' da sottolineare che fino ad ora non sembra esistere un software AV che riesca ad evidenziare il file come codice pericoloso con continuita' ma assistiamo ad un alternarsi di diversi e pochi prodotti nei report di VT.

Per quanto riguarda la pagina di scansioni online VirScan il risultato e' quello di un file MSCodecLite.7.exe completamente esente da ogni problema.

Anche per il sito di Threat Expert come gia successo in passato, il file non sembra poter essere analizzato restituendo un report praticamente vuoto.

Non e' stato testato il file con Anubis in quanto il sito risultava OFFline.

In definitiva sorprende come chi gestisce la distribuzione di MSCodecLite.7.exe continui a supportare il sito e relativo codice malware anche ormai a distanza di giorni dalla sua prima rilevazione in rete,
Normalmente, infatti, i siti che simulano questo tipo di player video hanno vita abbastanza breve e cambiano spesso indirizzo web.

Al momento il falso player sembrerebbe solo essere collegato a questo sito di falsi filmati porno online


dove cliccando sul link di uno dei video proposti si viene rediretti sulla nota pagina che linka al falso codec MSCodecLite.7.exe .

Edgar

Pharmacy Spam

Da qualche giorno e' in atto un grande invio di mails di spam con links al noto sito Canadian Pharmacy che propone dubbi medicinali specialmente nella categoria viagra e derivati.


Il particolare delle mails ricevute e' che sono per cosi dire personalizzate con l'indirizzo mail di chi la riceve presente nel testo html che compone il messaggio ma non solo.
Esaminando infatti il codice della mail si scopre che sono presenti alcuni links che riportano l'indirizzo mail completo.

Questo vuole dire che quando si clicchera' su uno di questi collegamenti verranno inviate al server anche le informazioni relative all'indirizzo mail di chi ha ricevuto il messaggio

Inoltre , come si vede, i link proposti in mail che dovrebbero corrispondere alla richiesta di stop all'invio dei messaggi danno come risultato una pagina bianca con la sola scritta NOT FOUND, che dimostra ancora una volta che l'unico compito di questi collegamenti fasulli e' quello di acquisire dati su chi legge la mail.

Al momento, un whois del server che hosta il sito di pharmacy punta a Panama

ma in precedenza avevamo anche whois che puntavano in Cina trattandosi comunque di nomi gia' noti per questa tipologia di spam.
Qui vediamo alcuni dei nomi di dominio appena creati a questo scopo.

Edgar

lunedì 29 settembre 2008

Siti su dominio .IT con problemi (aggiornamento)

Nonostante se ne scriva poco, il numero di siti web, anche su dominio .IT, che vengono utilizzati per ospitare in maniera nascosta al loro interno, pagine od addirittura siti completi, e' in continuo aumento.
Infatti si legge molto in rete di avvisi al riguardo di pagine con links a malware, siti attaccati con sistemi vari tra cui sql injection, ma non si trovano molte info sul numero di siti colpiti da inclusione nascosta di pagine con link a malware o a siti poco affidabili (pharmacy, falsi softwares AV ecc...)

La spiegazione di questa poca attenzione a questo genere di attacchi si spiega con il fatto che , almeno apparentemente, il sito web colpito continua a funzionare normalmente e probabilmente chi lo amministra se si limita ad aggiornare solo alcuni dati, neanche si accorge di quello che sta succedendo.

Inoltre puo anche accadere che un sito una volta individuato come vulnerabile, subisca non uno ma ripetuti attacchi, anche non collegati tra loro, che permettono a chi gestisce la distribuzione di malware, di inserire centinaia di pagine anche con diversi links a varie tipologie di siti pericolosi.

Vediamo due nuovi casi individuati con una semplice ricerca in rete.

Dato che di questi due esempi riportero' le url complete poiche' sono disponibili usando qualsiasi motore di ricerca, raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con probabili links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)


Il primo sito esaminato riguarda un rivenditore di hardware

la cui homepage e' al momento solo disponibile in cache di Google, in quanto la homepage e' ora interamente compromessa


e che mostra, in cache, il seguente codice

Notare che gia sulla pagina in cache del motore di ricerca se gli scripts sono abilitati, viene eseguito in automatico il download di un piccolo file pdf

In realta' si tratta non di un comune file pdf ma di un codice exploit individuato come


Mentre se tentiamo di aprire il link originale al momento abbiamo solo

A parte questo , l'ormai EX sito, incorpora al suo interno centinaia di pagine con differenti layout, (falso forum, falso blog wiki ecc...)

ed anche
oppure
che a seconda del layout proposto hanno anche diverso redirect su siti o di falso Av oppure al sito Adult Friend Finder

cosa da ricordare in quanto vedremo che anche il secondo sito esaminato conterra' pagine che punteranno ad una medesima pagina.
In ogni caso una cronologia degli aggiornamenti eseguiti sul sito

dimostrerebbe che, probabilmente, si tratta di sito 'abbandonato' e che quindi continuera' ad hostare queste pagine ed eventuali nuovi links a malware finche' non definitivamente chiuso.

Il secondo caso invece tratta di sito sicuramente aggiornato e probabilmente anche piu' conosciuto
Mi riferisco a questo sito:

relativo a "Max" Pezzali, cantautore italiano, co fondatore, leader e voce degli 883, ed in seguito, solista.

Anche in questo caso se andiamo ad analizzare i contenuti del sito oltre la homepage scopriamo interessanti contenuti nascosti
Ad esempio:

con redirect su (notare nella url un riferimento al sito di provenienza)

oppure

Si tratta di centinaia di pagine con links automatici ad Adult Friend Finder e con registrar

cosa che non sorprende piu' di tanto visti i contenuti.

Ed ecco uno stralcio dei links presenti sul sito, sempre naturalmente corrispondenti a pagine nascoste.

In definitiva altri due esempi di un sistema utilizzato sempre piu' spesso e che non sembra essere contrastato in maniera efficace da chi amministra siti web.
Non e' possibile al momento stabilire il numero di siti che presentano tale problema in quanto continuamente variabile ma credo di non sbagliare dicendo che si tratta di centinaia solo per quelli su dominio .IT

Per quanto si riferisce a potenziali problemi di sicurezza per chi vista i siti visti ora mentre nel primo caso (formatcomputers) c'e' sicuramente il pericolo di vedersi scaricato sul pc files malware il secondo sito (Max Pezzali) non presenta problemi per chi lo visita in quanto le pagine aggiunte sono nascoste e non raggiungibili se non da una ricerca di rete.
Comunque, anche senza questo rischio, rimane evidente che, intanto, si tratta di sito vulnerabile e non si puo' escludere che in futuro qualche malintenzionato aggiunga links o scripts pericolosi, e inoltre la presenza di queste pagine puo' generare un aumento di traffico Internet non voluto da e verso il sito, con possibili problemi di accesso allo stesso.

Edgar

domenica 28 settembre 2008

Aggiornamento malware MSCodecLite.7.exe ( ex MultyCodecUpgr.7.exe ) 27 - 28 settembre

Ritorno brevemente sul malware di cui ho ampiamente scritto nei giorni scorsi, per evidenziare che la pagina in che lo distribuisce come falso codec video risulta sempre online e attiva.
Da ieri si e' assistito, oltre che all'ennesimo cambio della url relativa alla pagina da dove viene scaricato il file eseguibile anche al cambio di nome del file stesso che e' passato da MultyCodecUpgr.7.exe a MSCodecLite.7.exe.

In questi due giorni abbiamo assistito ad un costante aggiornamento del codice che al massimo e' stato rilevato da 4 software AV per ritornare dopo poco, quasi totalmente sconosciuto (al momento di scrivere il post solo NOD32 riconosce il pericolo)
Ecco una breve cronologia del comportamento dei softwares AV su Virus Total



mentre nessun software presente nel report VirScan rileva attualmente il codice malevolo, a parita' di file e di software testati.

Anche se il nome e' cambiato una analisi con Anubis dimostra che siamo sempre di fronte ad un codice simile al precedente


che una volta in esecuzione esegue downloads da vari siti sia di altri files catalogati come malware che anche una falsa applicazione AV

Questo un whois di uno dei collegamenti aperti dal software malevolo quando eseguito

Contrariamente ad altre volte si nota quindi determinazione da parte di chi gestisce il sito e il relativo file malware lnkato, nel mantenere online questa 'distribuzione' malware che tra l'altro continua a rimanere ,merito dei continui aggiornamentii del codice, costantemente sconosciuta ai comuni softwares AV.

Edgar

Phishing CartaSi

Ricevuta mail di phishing ai danni di CartaSi


Si tratta della 'solita mail di phishing che dopo aver richiesto i dati personali redirige sul sito reale di CartaSi


Unica differenza rispetto ad altre volte e' che ora e' utilizzato un servizio free di hosting per ospitare il sito di phishing.

Questa la homepage

e questo l'indirizzo completo del sito di phishing presente in mail

http://www.cartasi.freeo.net/

Edgar

venerdì 26 settembre 2008

Curiosita'

Oggi, alle 16.35 circa (ora thai = 11.35 AM in Italia) se si provava a caricare la homepage del sito della RTSI Radiotelevisione svizzera di lingua italiana compariva questo messaggio

Essendo proprio la homepage OFFLine cliccando sul link proposto si ricaricava la medesima pagina di avviso

Dopo alcuni minuti il sito e' ritornato raggiungibile.

Edgar

The beginning of the Third World War

Tra le tante mails di spam che hanno come scopo finale indurre chi le riceve a scaricare malware proponendo news dell'ultima ora chiaramente fasulle' ma dai contenuti a dir poco catastrofici vale la pena di analizzare questo link citato da Sunbelt Blog in un recentissimo post.
La mail di spam punta infatti ad una pagina dal layout accurato che imita quella di CNN e propone un contenuto dell'ultima ora che informa dell'inizio della “Third World War“ (terza guerra mondiale).

La pagina ricca di contenuti di testo relativi alla notizia riporta anche un falso player video con un comunicato del presidente USA.
Chiaramente, come al solito in questi casi, contemporaneamente all'apertura della pagina abbiamo la comparsa del messaggio che invita a scaricare il codec video a fronte di un errore di ActiveX.


Il file scaricato, come era evidente, e' visto da alcuni softwares come malware pericoloso anche se mancano all'appello alcuni noti software Av quali ad es. TrendMicro , McAfee ecc...

Questo un report VT

e questo con VirScan

Tutto sembrerebbe indicare quindi la solita pagina che tenta di far caricare un malware attraverso false news come gia' successo in passato ma con qualche sorpresa effettuando una analisi del sito

che punterebbe a hoster locato in

Ed ecco un nslookup


che confermerebbe le indicazioni precedenti

Edgar

giovedì 25 settembre 2008

Aggiornamento malware MultyCodecUpgr.7(dot)exe 24 e 25 settembre

Dopo che il giorno 24 settembre, una scansione con VT del file MultyCodecUpgr.7(dot)exe, scaricato sempre al medesimo indirizzo del giorno 23, aveva mostrato che 4 softwares AV lo riconoscevano come pericoloso, oggi, 25 settembre, siamo tornati praticamente all'assenza di riconoscimento da parte dei softwares antivirus.

Questo un report VT dove si vede che solo Symantec cataloga come 'Downloader' il file malware

mentre per VirScan il file risulta privo di pericoli.

L'indirizzo web da dove viene adesso scaricato il file MultyCodecUpgr.7 e' ancora una volta cambiato, mentre una verifica con Anubis mostra che, quando in esecuzione, il malware attiva downloads da links uguali a quelli visti in precedenza.

Edgar

Ancora links nascosti inseriti in siti di P.A.

Vediamo due casi che riguardano siti di Amministrazione Pubblica che ospitano al loro interno, in una o piu' pagine, migliaia di links a siti con links a malware oppure a siti di pharmacy che di solito reclamizzano viagra e derivati.

Il primo sito la cui homepage presenta date relative ad aggiornamenti molto recenti, riguarda un Comune italiano.

mentre qui vediamo una visualizzazione totale del layout di una delle pagine

che pur essendo del tutto 'normale', al momento del caricamento nel browser presenta tempi insolitamente lunghi.
Analizzando con Wget al momento del caricamento notiamo che la dimensione del source risulta abbastanza grande anche rispetto al layout visto prima.

Infatti se andiamo ad esaminare il file sorgente troviamo oltre al normale codice migliaia di links nascosti

che vediamo in dettaglio

Una buona parte di questi link punta ad un sito di pharmacy

Un secondo caso invece ci mostra come i link nascosti presenti siano sempre ben aggiornati

Ecco la homepage, sempre di sito comunale,

che questa volta presenta migliaia di links che sfruttano il noto sito Google Groups

Si nota che gia' al momento del download della pagina di Google Groups viene caricata una immagine da un sto che ospita anche il falso player video.

Il link seguente apre questo sito di falsi filmati che presenta un layout del player abbastanza curato.


Non si tratta infatti della solita singola gif animata ma di un vero e proprio file flash che simula il player video, compreso l'avanzamento della barra del download del file.


Il sito di falsi filmati presenta whois

In maniera automatica, se gli scripts sono attivi , o cliccando sul link che propone il falso codec video, verra' scaricato il file eseguibile contenente malware, che vediamo analizzato con VT

ed a titolo di raffronto con VirScan

dove ancora una volta si notano alcune discordanze ,analizzando il medesimo file pericoloso con diverso sito di scansione online.

Come nota finale, c'e' da dire che entrambi i siti risultano costruiti utilizzando l'ambiente di sviluppo Joomla che potrebbe forse essere messo in relazione ai problemi osservati ora.
Infatti, ad esempio, esistono vulnerabilita' Joomla dovute ad estensioni che se non aggiornate favoriscono i tentativi di hacking, di cui abbiamo gia' visto vari esempi in passato.

Edgar