martedì 24 febbraio 2009

Aggiornamento Waledac Botnet 24/2

Ricordo come sempre che i domini elencati nel post sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.

MCAfee blog riporta, al riguardo della nuova pagina Waledac, alcune novita'

Il testo visualizzato sarebbe adesso infatti modificato ad ogni caricamento della pagina in maniera da localizzare le offerte a seconda della provenienza geografica del visitatore.
In pratica, dall'esempio presentato sul blog, il testo conterrebbe nomi di citta' che cambiano per differenti IP di provenienza.

Questo potrebbe significare che si cerca di allargare l'interesse per il falso sito 'couponizer' al di fuori del territorio USA presentando offerte commerciali 'personalizzate' a seconda della nazione di provenienza del visitatore della pagina.

Nello stesso articolo MCAfee avverte anche della presenza di un Iframe che conterrebbe exploit pericoloso.

Al momento di scrivere il post, caricando alcune pagine Waledac la geo localizzazione non sembrava essere attiva ed anche non era possibile rilevare la presenza di un exploit collegato all'iframe contenuto nella pagina.

E' interessante notare che sono stati creati nuovi nomi di dominio che richiamano l'argomento trattato dalla nuova pagina e cioe' la distribuzione dei 'coupons' di sconti e delle offerte commerciali

yourcountycoupon(dot)com
thecoupondiscount(dot)com
supersalesonline(dot)com
smartsalesgroup(dot)com
greatsalestax(dot)com
greatsalesgroup(dot)com
greatsalesavailable(dot)com
greatcouponclub(dot)com
codecouponsite(dot)com

Una verifica con VT dimostra sempre un basso riconoscimento del file malware

Edgar

Nessun commento: