martedì 16 settembre 2008

Aggiornamenti malware Zlob e falsi players video

Continuano gli 'aggiornamenti' a links malware su forum .IT che vedono ogni giorno qualche ulteriore novita' in fatto di links e immagini postate.
Quella che vediamo e' la pagina odierna di uno dei tanti forum, su .IT, che linkano a malware.

Questa volta l'utilizzo di .gif animate, cosa non comune, fino a qualche tempo fa, riguarda le immagini porno allegate al post.
Si tratta di una serie di gif che sono scaricate da un sito con whois USA che tramite un redirect

connette, chi clicca su una delle immagini o sui links presenti nel testo del post, a questa pagina

su server con IP, appartenente ad hoster ucraino, che tra le altre cose ha l'indirizzo del sito che, per cercare di rendersi il meno possibile visibile, propone una pagina di account sospeso, quando in realta' e' ben funzionante.

Esaminando in dettaglio l'url del falso player si puo' notare come anche questa volta sia presente il diffuso sistema di caricare differenti layout e relative finestre di avviso attraverso una codifica numerica presente sull'indirizzo (es ..../1/... ..../2/.... ecc...)
Quella che vediamo e' una animazione che propone i diversi layout presenti variando la chiave numerica da 1 a 5:

A questo punto, in maniera automatica, se gli scripts sono attivi sul browser, oppure cliccando sull'immagine del player viene scaricato un file eseguibile che esaminiamo in dettaglio.

Come altre volte il file eseguibile non risiede sul medesimo server che hosta il sito web di falsi player ma su

sfruttando il sistema della codifica dell'url che richiama il download del file eseguibile che presentera' diversi valori di checksum a seconda del valore numerico presente come nome di file.

Vediamo come, ad esempio, variando di qualche unita' il nome del file exe originario (in giallo),

otteniamo un differente valore di checksum sul file exe scaricato


Il risultato e' infatti il download di un file eseguibile, sempre con il medesimo nome c-setup.exe , ma che analizzato presenta diversi valori di checksum . (nel report si vedono nomi diversi di file setup dovuti al programma che effettua il download e che rinomina i files per permetterne il salvataggio tutti nel medesimo folder. Es ( C-setup(1) .... (2)......... (n))

In definitiva con un valore numerico differente nel nome verra; scaricato un file con differente codice MD5 o SHA1.

Il malware, e' come sempre poco conosciuto dai vari software AV

ed una volta in esecuzione sul pc colpito stabilisce alcune connessioni Internet ad esempio con

dove notiamo tra gli altri anche un link a

anche questo gia' noto hoster di siti e pagine pericolose.

Edgar

3 commenti:

Sbronzo di Riace ha detto...

http://www.giorgiotave.it/forum/mondo-open-source/61501-penna-usb-autopartente.html


Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://www.giorgiotave.it/forum/mondo-open-source/61501-penna-usb-autopartente.html
Information: Contains recognition pattern of the HTML/Infected.WebPage.Gen HTML script virus

Edgar Bangkok ha detto...

Mi pare un falso avviso ...
Ho dato una occhiata al momento di caricare la pagina e mi pare tutto normale

Sbronzo di Riace ha detto...

adesso l'avviso non c'è più


magari era una pubblicità via javascript