Ecco un interessante link presente su uno dei tanti forum .IT utilizzati per distribuire links a pagine pericolose.
che presenta nel link, per aumentare le probabilita' che venga cliccato, il nome di un reale sito francese che distribusce contenuti porno e links a siti con contenuti simili:
Come sempre l'aggiornamento in tempo reale del post sul forum permette di esaminare le ultime novita' in fatto di files con contenuto malware.
La pagina caricata simula ancora una volta un falso player video
che in automatico o cliccando sul falso lettore multimediale propone il download di un file eseguibile.
Da notare che a distanza di un giorno e' cambiato l'indirizzo del sito da dove viene scaricato il file anche se simile come url
Il file exe ad una prima analisi il giorno 19 risultava completamente privo di avvisi di presenza malware presentandosi come file non pericoloso.
Chiaramente questo era in contrasto da tutti gli altri indizi (links al sito con testo di genere porno, pagina con falso player video , sistema adottato per proporre lo scaricamento del file in automatico ecc...) che facevano sospettare il file come appartenente ai consueti malware distribuiti come codecs video o falsi setup di player.
Analizzato successivamente il 20 settembre il file presentava , finalmente, una seppur minima indicazione di contenuti malware:
A questo punto si e' provato ad analizzare il file con altri servizi di scansione AV online
Da notare i differenti report da parte dei vari siti online di scansione
Jotti ad esempio proponeva solo il NOD32 che identificava il file come malware
mentre , come altre volte gia successo, VirScan dava una riposta completamente diversa, al riguardo del nome di antivirus che rileva la minaccia
Chiaramente, per tutti i report si e' verificato che l'MD5 fosse identico.(la data e l'ora indicate nei vari reports invece differiscono tra loro ma in ogni caso i files sono stai inviati ai siti di scansione online tutti allo stesso momento)
Per quanto si riferisce invece ai vari siti che propongono una analisi del file malevolo eseguendolo in SandBox nessuno dei piu' noti e' riuscito ad analizzare il file come vediamo ad esempio dal report di Threat Expert
o dal messaggio mal di Norman Sandbox
Da notare che il whois della pagina e del server che ospita il malware punta a siti hostati in USA ed inoltre la pagina con falso player presenta, differentemente da altre volte alcuni Java Scripts offuscati, che sembrerebbero pero non attivarsi usando Firefox.
Una terza analisi eseguita dopo qualche ora ha nuovamente mostrato che nessun software AV di quelli presenti nel report VT rileva adesso il contenuto malware del file.
Il giorno 21 una nuova scansione del file eseguibile dimostra che il riconoscimento del pericolo contenuto nel file e sempre praticamente inesistente.
Adesso VT mostra che solo Prevx riconosce la minaccia ma ancora una volta differenti siti di scansione AV multipla online danno differenti risultati
Ecco ad esempio con VirScan
mentre Jotti da il file come esente da qualsiasi problema
A questo punto una analisi con la SandBox di Anubis (servizio non era disponibile al momento delle prime analisi del file) ha finalmente permesso di avere qualche info in piu' sul contenuto del file eseguibile
Questo il sommario dell'esecuzione del file
e queste le attivita' di rete relative
Si notano alcune connessioni ad un sito che scarica sul pc alcuni files con contenuti sicuramente dannosi mentre il sito e' registrato a nome di
che e' una ulteriore conferma sul genere di files scaricati
Come si vede questo file eseguibile, tra quelli recentemente esaminati, si sta dimostrando uno dei piu' efficienti come capacita di occultamento del codice malevolo rendendo, almeno per il momento molto difficoltoso il riconoscimento del malware, da parte dei piu' conosciuti softwares AV e dimostra come anche a distanza di giorni praticamente non ci sia ancora una risposta efficace da parte dei piu' noti softwares AV in commercio.
Inoltre, e' interessante notare come differenti servizi di scansione online abbiano diverse risposte per il medesimo file e la medesima applicazione antivirus ma in questo caso le cause possono essere molte (differente versione del software AV con differenti aggiornamenti, diverso ambiente di test ed anche differenti parametri di scansione nei confronti del codice esaminato , ecc....)
Aggiornamento 21 sett. 23.15 (time thai)
A qualche ora dall'ultima analisi VT il sito che hosta il file malware e' nuovamente cambiato
mentre alcuni software (comunque sempre pochi) riconoscono adesso il file come pericoloso:
Da notare che adesso Prevx ha smesso di riconoscere il malware, il cui codice e' evidentemente nuovamente mutato in questo intervallo di tempo.
Edgar
1 commento:
seguo da qualche mese il tuo blog e ti considero come l'andrea vesalio del 21mo secolo(26mo thai :), parlando di internet
spesso cerco di emularti nelle analisi e vado appositamente ad aprire pagine dove è palese che ci sia malware.
la conclusione alla quale sono arrivato io è che nonostante tutte le case produttrici di antivirus dicano che "noi X siamo meglio di Y" , in realtà di sicurezza vera, ce ne sia ben poca
sono "sconcertato" anche da siti tipo virustotal/virscan,a causa dell'euristica o di altri settaggi,lo stesso antivirus/malware lo trova in 1 sito e nell'altro no
in ogni caso ti ringrazio per avere creato questo blog,perchè è molto curato e ci sono molti screenshot,fondamentali per fare capire chi se ne intende di meno
Saluti
enrico
Posta un commento