Ritorno brevemente sul malware di cui ho ampiamente scritto nei giorni scorsi, per evidenziare che la pagina in che lo distribuisce come falso codec video risulta sempre online e attiva.
Da ieri si e' assistito, oltre che all'ennesimo cambio della url relativa alla pagina da dove viene scaricato il file eseguibile anche al cambio di nome del file stesso che e' passato da MultyCodecUpgr.7.exe a MSCodecLite.7.exe.
In questi due giorni abbiamo assistito ad un costante aggiornamento del codice che al massimo e' stato rilevato da 4 software AV per ritornare dopo poco, quasi totalmente sconosciuto (al momento di scrivere il post solo NOD32 riconosce il pericolo)
Ecco una breve cronologia del comportamento dei softwares AV su Virus Total
mentre nessun software presente nel report VirScan rileva attualmente il codice malevolo, a parita' di file e di software testati.
Anche se il nome e' cambiato una analisi con Anubis dimostra che siamo sempre di fronte ad un codice simile al precedente
che una volta in esecuzione esegue downloads da vari siti sia di altri files catalogati come malware che anche una falsa applicazione AV
Questo un whois di uno dei collegamenti aperti dal software malevolo quando eseguito
Contrariamente ad altre volte si nota quindi determinazione da parte di chi gestisce il sito e il relativo file malware lnkato, nel mantenere online questa 'distribuzione' malware che tra l'altro continua a rimanere ,merito dei continui aggiornamentii del codice, costantemente sconosciuta ai comuni softwares AV.
Edgar
Da ieri si e' assistito, oltre che all'ennesimo cambio della url relativa alla pagina da dove viene scaricato il file eseguibile anche al cambio di nome del file stesso che e' passato da MultyCodecUpgr.7.exe a MSCodecLite.7.exe.
In questi due giorni abbiamo assistito ad un costante aggiornamento del codice che al massimo e' stato rilevato da 4 software AV per ritornare dopo poco, quasi totalmente sconosciuto (al momento di scrivere il post solo NOD32 riconosce il pericolo)
Ecco una breve cronologia del comportamento dei softwares AV su Virus Total
mentre nessun software presente nel report VirScan rileva attualmente il codice malevolo, a parita' di file e di software testati.
Anche se il nome e' cambiato una analisi con Anubis dimostra che siamo sempre di fronte ad un codice simile al precedente
che una volta in esecuzione esegue downloads da vari siti sia di altri files catalogati come malware che anche una falsa applicazione AV
Questo un whois di uno dei collegamenti aperti dal software malevolo quando eseguito
Contrariamente ad altre volte si nota quindi determinazione da parte di chi gestisce il sito e il relativo file malware lnkato, nel mantenere online questa 'distribuzione' malware che tra l'altro continua a rimanere ,merito dei continui aggiornamentii del codice, costantemente sconosciuta ai comuni softwares AV.
Edgar
2 commenti:
gli screensaver che si trovano qui secondo te sono puliti?
http://screensaver.sfondi.com/site/categoria.asp?ID=1
Ho scaricato uno dei piu' semplici ed eseguito non mi pare faccia niente di particolare, anche come connessioni di rete al momento non ne ha stabilite, c'e' da dire che pero' 2 software su Virus Total che diventano 3 quando si testa il file scr lo danno come sospetto positivo ma potrebbero anche essere falsi allarmi dovuti al fatto che il file usa un sistema di compressione simile a quello usato da qualche malware.
In ogni caso quello che ho testato e uguale ad usare lo screen saver di xp di default che fa' lo slide show e quindi non mi pare il caso di utilizzare screen saver simili che potrebbero comunque nascondere qualche sorpresa non voluta.
Il fatto e' che ce ne sono decine sul sito e nessuno puo' essere sicuro che magari qualcuno abbia la sorpresa incorporata, visti i precedenti sull'uso di screen saver con spyware o peggio.
Posta un commento