Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.
Sembrerebbe sempre molto attiva la botnet Waledac che ha fatto la sua comparsa recentemente e che come gia' visto presenta molte analogie con la ben nota Storm Worm Botnet.
Una scansione della lista dei domini interessati dalla diffusione della falsa card di auguri che in realta' linka a file eseguibile malware, mostra che praticamente tutti i siti sono ONLINE ed attivi.
Il file eseguibile presente (card.exe) risulta ora sconosciuto ai softwares presenti su VT
Un report relativo agli IP di provenienza dei PC compromessi facenti parte della botnet Waledac dimostra che come sempre la maggior parte sia locata in USA e Canada ma questa volta anche un IP italiano rientra nella lista.
Per verificare comunque l'attendibilita' del report ottenuto, come sempre, con un whois ciclico (script Autoit) su uno dei nomi di dominio facenti parte della botnet, e' stato verificato cosa accadeva caricando nel browser l'IP italiano trovato
Come si vede, abbiamo la conferma che l'IP appartiene a indirizzo di macchina che hosta la falsa pagina di cards contenente il malware.
A questo punto sara' anche interessante verifcare per quanto tempo questo IP risultera' attivo nella distribuzione della falsa pagina di card della botnet.
Edgar
Sembrerebbe sempre molto attiva la botnet Waledac che ha fatto la sua comparsa recentemente e che come gia' visto presenta molte analogie con la ben nota Storm Worm Botnet.
Una scansione della lista dei domini interessati dalla diffusione della falsa card di auguri che in realta' linka a file eseguibile malware, mostra che praticamente tutti i siti sono ONLINE ed attivi.
Il file eseguibile presente (card.exe) risulta ora sconosciuto ai softwares presenti su VT
Un report relativo agli IP di provenienza dei PC compromessi facenti parte della botnet Waledac dimostra che come sempre la maggior parte sia locata in USA e Canada ma questa volta anche un IP italiano rientra nella lista.
Per verificare comunque l'attendibilita' del report ottenuto, come sempre, con un whois ciclico (script Autoit) su uno dei nomi di dominio facenti parte della botnet, e' stato verificato cosa accadeva caricando nel browser l'IP italiano trovato
Come si vede, abbiamo la conferma che l'IP appartiene a indirizzo di macchina che hosta la falsa pagina di cards contenente il malware.
A questo punto sara' anche interessante verifcare per quanto tempo questo IP risultera' attivo nella distribuzione della falsa pagina di card della botnet.
Edgar
Nessun commento:
Posta un commento