E' cambiato dopo qualche settimana il tema proposto dalle pagine distribuite da Waledac botnet.
Si tratta adesso di questa pagina che, ed e' una novita', propone il download di un “Valentines Card Development Kit”, praticamente un software per creare "nicely designed Valentines Card for your sweetheart" cioe' card di auguri per la festa di San Valentino.
Sia il disegno che i links puntano a file eseguibile con differenti nomi
Qui vediamo alcuni di questi eseguibili
che si differenziano oltre che per il nome anche per le dimensioni del file e naturalmente per il contenuto del codice malware che viene come al solito modificato con frequenza per eludere i controlli dei softwares AV.
La variazione dei codici inseriti sembrerebbe piu veloce che quella dei precedenti files Waledac e un esame con VT dimostra scarso riconoscimento da parte dei piu' usati software AV.
Il codice sorgente della pagina mostra oltre che ai links al file eseguibile anche un iframe con indirizzo che punta a sito web che, al momento di scrivere il post era offline.
Un report parziale con lo script Autoit whois, vede sempre adesso ai primi posti, come IP attivi Waledac, USA e UK anche se altre nazioni come Cina e Korea hanno avuto e forse hanno ancora un grande numero di pc compromessi facenti parte della botnet.
Sembrerebbe pero', come risulta anche da altri trackers, che chi gestisce la botnet tenda al momento a escludere dai computer attivi Waledac quelli cinesi e in parte ancke koreani.
Edgar
Si tratta adesso di questa pagina che, ed e' una novita', propone il download di un “Valentines Card Development Kit”, praticamente un software per creare "nicely designed Valentines Card for your sweetheart" cioe' card di auguri per la festa di San Valentino.
Sia il disegno che i links puntano a file eseguibile con differenti nomi
Qui vediamo alcuni di questi eseguibili
che si differenziano oltre che per il nome anche per le dimensioni del file e naturalmente per il contenuto del codice malware che viene come al solito modificato con frequenza per eludere i controlli dei softwares AV.
La variazione dei codici inseriti sembrerebbe piu veloce che quella dei precedenti files Waledac e un esame con VT dimostra scarso riconoscimento da parte dei piu' usati software AV.
Il codice sorgente della pagina mostra oltre che ai links al file eseguibile anche un iframe con indirizzo che punta a sito web che, al momento di scrivere il post era offline.
Un report parziale con lo script Autoit whois, vede sempre adesso ai primi posti, come IP attivi Waledac, USA e UK anche se altre nazioni come Cina e Korea hanno avuto e forse hanno ancora un grande numero di pc compromessi facenti parte della botnet.
Sembrerebbe pero', come risulta anche da altri trackers, che chi gestisce la botnet tenda al momento a escludere dai computer attivi Waledac quelli cinesi e in parte ancke koreani.
Edgar
Nessun commento:
Posta un commento