martedì 24 febbraio 2009

Aggiornamento geo localizzazione pagina Waledac Botnet 24/2

Una ulteriore verifica sulle pagine Waledac a finalmente permesso di rilevare la presenza della geo localizzazione del testo

Ecco alcuni esempi


forzando un IP 'italiano' attraverso l'uso di Portable Tor configurando gli ExitNodes relativi all'Italia

Un altro esempio con IP 'italiano'

e questo con IP 'tedesco'


La spiegazione del precedente risultato nullo, consiste nel fatto che richiamando direttamente il dominio senza aggiungere alla url anche il riferimento al codice php es. yourcountycoupon(dot)com la pagina vene si' caricata ma senza la presenza nel testo del riferimento geografico di chi la visita

Nelle mails di spam che puntano a Waledac risulta presente un indirizzo comprensivo di riferimento a codice php (sales.php, salelist.php, ecc.........) e quindi al momento del caricamento della pagina yourcountycoupon(dot)com/sales.php avremo la personalizzazione del testo.

Sicuramente con questo espediente e' piu' probabile che chi ricevera' la mail di spam possa essere tentato a scaricare il file eseguibile incuriosito dal fatto che anche 'dalle sue parti" esistono queste offerte 'speciali'

Aggiornamento Waledac Botnet 24/2 (10 PM thai time – 4 PM italian time)

A seguito di un nuovo 'aggiornamento' del codice pericoloso, una scansione Virus Total del file eseguibile proposto dalla pagina Waledac

dimostra nuovamente un quasi nullo riconoscimento del malware da parte dei piu diffusi antivirus.

Edgar

Nessun commento: