domenica 18 gennaio 2009

Superobamaonline su probabile Waledac botnet

Sono presenti in rete una serie di nuovi siti, con IP in probabile tecnica FastFlux, che propongono notizie relative al nuovo presidente Usa Obama, e che tutto fa pensare non siano altro che la prosecuzione del tentativo di diffusione della Waledac botnet apparsa a dicembre.

Chiaramente per attirare l'attenzione le notizie sono costruite in modo da invogliare chi riceve le mails di spam e visita il sito fasullo, a cliccare sul link, come ad esempio la news nella quale si informa che Obama ha rifiutato di diventare presidente USA.

Una volta cliccato sul link viene proposto il download di files exe come ad esempio usa.exe, video.exe, obamablog.exe ecc....

C'e' da dire che una prima veloce analisi del sorgente della pagina rivela anche la presenza di uno script offuscato simile a quello gia' visto sulle false pagine Waledac di auguri natalizi

Anche l'analisi del file eseguibile che viene proposto cliccando sui links presenti riconduce a Waledac botnet nei risultati proposti.


Una analisi degli IP coinvolti nella distribuzione delle pagine in tecnica fastflux dimostra questa volta la presenza anche di IP italiani.

(continua)

Edgar

Nessun commento: