E' di ieri un interessante post sul blog "PC al Sicuro" nel quale si apprende come adesso, tramite l'uso di files multimediali protetti utilizzando la tecnologia DRM opportunamente 'adattata' si forza il media player ad acquisire una licenza fasulla che connette verso un falso sito web.
Il file eseguibile scaricato dopo alcuni redirect appare come un installer per la licenza, ma in realta' si tratta di un trojan. che Prevx identifica come Trojan.DRMLive.
Il sito da cui verrebbe scaricato il file eseguibile malware e' cleanlive(dot)net.
E' interessante notare come cleanlive(dot)net un whois del quale punta in
non sia nuovo nell'ospitare files eseguibili in realta' malware ed anzi alcuni malware ospitati sul sito sembrano avere qualche analogia con il file malware individuato ora.
Vediamo ad esempio questa pagina di un sito che propone crack e serial per applicazioni Windows
con links ad eseguibili ospitati anche in questo caso su cleanlive(dot)net
Questi i due file scaricati
che una prima analisi con VT dimostra essere files malware con il medesimo contenuto (vedi ad esmpio SHA1)
Esaminando ora con Anubis il comportamento del file eseguibile notiamo che sembrerebbe avere qualche analogia con il file malware scaricato dal falso DRM
Ad esempio si nota anche in questo malware un coinvolgimento della libreria di sistema advapi32.dll
cosi' come la l'uso del processo spoolsv.exe
che porta alla creazione di directory nascoste
Ecco utilizzando http://www.joebox.org/ un dettaglio dei nomi di files che utilizzano il formato tempo-[random].tmp.
L'attivita' di rete del malware quando eseguito
coinvolge IP di siti ben noti per i loro contenuti pericolosi come ad esempio
Chiaramente non si tratta del medesimo malware ma in ogni caso, anche dallo scarso riconoscimento del file pericoloso da parte di numerosi antivirus siamo di fronte ad un ennesimo tentativo di infettare un elevato numero di pc.
In questo caso si dimostra ancora una volta come i programmii di crack ed i generatori di key per software commerciale siano i tra i preferiti per diffondere questo genere di contenuti pericolosi.
Edgar
Il file eseguibile scaricato dopo alcuni redirect appare come un installer per la licenza, ma in realta' si tratta di un trojan. che Prevx identifica come Trojan.DRMLive.
Il sito da cui verrebbe scaricato il file eseguibile malware e' cleanlive(dot)net.
E' interessante notare come cleanlive(dot)net un whois del quale punta in
non sia nuovo nell'ospitare files eseguibili in realta' malware ed anzi alcuni malware ospitati sul sito sembrano avere qualche analogia con il file malware individuato ora.
Vediamo ad esempio questa pagina di un sito che propone crack e serial per applicazioni Windows
con links ad eseguibili ospitati anche in questo caso su cleanlive(dot)net
Questi i due file scaricati
che una prima analisi con VT dimostra essere files malware con il medesimo contenuto (vedi ad esmpio SHA1)
Esaminando ora con Anubis il comportamento del file eseguibile notiamo che sembrerebbe avere qualche analogia con il file malware scaricato dal falso DRM
Ad esempio si nota anche in questo malware un coinvolgimento della libreria di sistema advapi32.dll
cosi' come la l'uso del processo spoolsv.exe
che porta alla creazione di directory nascoste
Ecco utilizzando http://www.joebox.org/ un dettaglio dei nomi di files che utilizzano il formato tempo-[random].tmp.
L'attivita' di rete del malware quando eseguito
coinvolge IP di siti ben noti per i loro contenuti pericolosi come ad esempio
Chiaramente non si tratta del medesimo malware ma in ogni caso, anche dallo scarso riconoscimento del file pericoloso da parte di numerosi antivirus siamo di fronte ad un ennesimo tentativo di infettare un elevato numero di pc.
In questo caso si dimostra ancora una volta come i programmii di crack ed i generatori di key per software commerciale siano i tra i preferiti per diffondere questo genere di contenuti pericolosi.
Edgar
Nessun commento:
Posta un commento