giovedì 20 novembre 2008

Cleanlive(dot)net, malware e nuovi utilizzi del DRM per infettare pc

E' di ieri un interessante post sul blog "PC al Sicuro" nel quale si apprende come adesso, tramite l'uso di files multimediali protetti utilizzando la tecnologia DRM opportunamente 'adattata' si forza il media player ad acquisire una licenza fasulla che connette verso un falso sito web.

Il file eseguibile scaricato dopo alcuni redirect appare come un installer per la licenza, ma in realta' si tratta di un trojan. che Prevx identifica come Trojan.DRMLive.

Il sito da cui verrebbe scaricato il file eseguibile malware e' cleanlive(dot)net.

E' interessante notare come cleanlive(dot)net un whois del quale punta in

non sia nuovo nell'ospitare files eseguibili in realta' malware ed anzi alcuni malware ospitati sul sito sembrano avere qualche analogia con il file malware individuato ora.

Vediamo ad esempio questa pagina di un sito che propone crack e serial per applicazioni Windows

con links ad eseguibili ospitati anche in questo caso su cleanlive(dot)net

Questi i due file scaricati

che una prima analisi con VT dimostra essere files malware con il medesimo contenuto (vedi ad esmpio SHA1)

Esaminando ora con Anubis il comportamento del file eseguibile notiamo che sembrerebbe avere qualche analogia con il file malware scaricato dal falso DRM

Ad esempio si nota anche in questo malware un coinvolgimento della libreria di sistema advapi32.dll

cosi' come la l'uso del processo spoolsv.exe

che porta alla creazione di directory nascoste

Ecco utilizzando http://www.joebox.org/ un dettaglio dei nomi di files che utilizzano il formato tempo-[random].tmp.

L'attivita' di rete del malware quando eseguito

coinvolge IP di siti ben noti per i loro contenuti pericolosi come ad esempio

Chiaramente non si tratta del medesimo malware ma in ogni caso, anche dallo scarso riconoscimento del file pericoloso da parte di numerosi antivirus siamo di fronte ad un ennesimo tentativo di infettare un elevato numero di pc.

In questo caso si dimostra ancora una volta come i programmii di crack ed i generatori di key per software commerciale siano i tra i preferiti per diffondere questo genere di contenuti pericolosi.

Edgar

Nessun commento: