giovedì 8 gennaio 2009

Waledac Botnet come Storm Worm

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Da poco , approfittando del periodo natalizio, abbiamo assistito alla rilevante diffusione di una botnet a cui e' stato dato il nome di 'Waledac botnet' che presenta molte analogie con la ben nota Storm Worm Botnet, praticamente scomparsa sia dalla rete che dalle cronache di sicurezza informatica degli ultimi mesi.

Le analogie con la Storm Worm Botnet sono molte e riconducono al medesimo sistema utilizzato in passato e cioe' l'utilizzo di mails di spam che contengono un link a pagina con card di auguri natalizi fasulla che in realta' propone un file (card.exe o postcard.exe) che se eseguito trasformera' il pc in zombie al servizio della botnet Waledac.

Esaminiamo in dettaglio il codice della falsa pagina di greetings card

che e' costituita da una immagine che rappresenta il layout della pagina e che linka, al file eseguibile.

Abbiamo anche presente, come si nota, un collegamento a file javascript che decodificato

contiene un link a sito con exploit che tenta di scaricare ed eseguire il medesimo file malevolo visto sopra.

Una analisi VT dimostra la quasi nulla percentuale di softwares che rilevano la minaccia, almeno da una scansione on demand.


A dimostrazione delle strette analogie con la precedente botnet Storm Worm ho eseguito il medesimo script Autoit utilizzato in passato per analizzare la provenienza degli IP sulla rete fastflux, cosa che ha permesso di visualizzare, attraverso un ripetuto whois su uno dei siti Waledac fastflux, i computer che fanno parte della botnet.
Si tratta comunque di un test solamente indicativo in quanto non ci si connette realmente agli ip in questione ma si esaminano solo i risultati di un whois e quindi non abbiamo la certezza che effettivamente i computer elencati hostino la falsa pagina di greeting card, ma in ogni caso i risultati sembrano avvicinarsi ad una mappatura simile a quelle create con sistemi piu' affidabili di tracking (alcuni esempi su http://www.sudosecure.net/archives/387 e http://www.honeynet.org/node/325)

Ecco il report generato in circa un'ora di whois su blackchristmascard(dot)com

dove si nota che, come in passato per Storm Worm, che il maggior numero di pc compromessi e' locato in USA (New Jersey in particolare).

Per quanto si riferisce ai domini coinvolti nella distribuzione della falsa cards abbiamo tra gli altri

bestchristmascard(dot)com
blackchristmascard(dot)com
cardnewyear(dot)com
cheapdecember(dot)com
christmaslightsnow(dot)com
decemberchristmas(dot)com
directchristmasgift(dot)com
freechristmassite(dot)com
freechristmasworld(dot)com
freedecember(dot)com
funnychristmasguide(dot)com
holidayxmas(dot)com
itsfatherchristmas(dot)com
justchristmasgift(dot)com
livechristmascard(dot)com
livechristmasgift(dot)com
mirabellaclub(dot)com
mirabellaonline(dot)com
newlifeyearsite(dot)com
newmediayearguide(dot)com
newyearcardcompany(dot)com
newyearcardfree(dot)com
newyearcardonline(dot)com
newyearcardservice(dot)com
superchristmasday(dot)com
superchristmaslights(dot)com
superyearcard(dot)com
themirabelladirect(dot)com
themirabellahome(dot)com
whitewhitechristmas(dot)com
yourchristmaslights(dot)com
yourdecember(dot)com
youryearcard(dot)com

che sconsiglio di vistare a meno di non aver preso tutte le precauzioni del caso in quanto la maggior parte sono attivi e linkano al file malware.

Il file javascript presente sulla pagina della falsa card di auguri linka invece a questi siti NON fast-flux

seofon(dot)net
seocom(dot)name
seocom(dot)mobi

che hostano l'exploit che tenta di eseguire il medesimo file pericoloso visto prima.

C'e' solo da attendere per vedere se questa nuova botnet, molto attiva anche ora che le festivita' natalizie sono passate, continuera' la sua diffusione, diventando uno dei sostituti piu' pericolosi della 'vecchia' botnet Storm ormai non piu' online, a meno che, non si tratti in realta', solo di una nuova variante della vecchia Storm Worm che ben conosciamo da tempo.

Edgar

Nessun commento: