lunedì 16 marzo 2009

'Reuters-Thailand: Terror attack in Bangkok' su Waledac botnet

Ricordo come sempre che gli indirizzi web elencati nel post sono attivi e linkano a file malware poco riconosciuto. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file eseguibile.

Un nuovo tema e' da oggi 'disponibile' sulle pagine di Waledac botnet che ci propongono una falsa pagina di news da parte della nota agenzia Reuters

Come vediamo, utilizzando la geo localizzazione dell'indrizzo IP il testo del messaggio si adatta al paese di provenienza del visitatore. (in questo caso Bangkok (da dove scrivo) come luogo del falso attentato).(per utenti italiani Internet avremo di conseguenza es. Milano, Roma ...ecc.. a seconda della localita' da dove sono connessi alla rete.)

Esaminiamo in dettaglio il sorgente della pagina:

Come si vede questa volta abbiamo piu' links rispetto alle precedenti pagine Waledac con l'intento di sfruttare meglio la curiosita' di che visitasse la pagina ed ingannarlo meglio sulla autenticita' della notizia.

Sono infatti anche presenti due links (in giallo sullo screenshot del source ) , senza collegamenti a malware, che puntano rispettivamente ad una ricerca Google

che propone collegamenti a fatti riferiti in modo specifico alla localita' citata sulla pagina Waledac ed inoltre un link a Wikipedia

che propone una spiegazione sul tipo di 'attacco' messo in atto.

Naturalmente sia cliccando sull'immagine del falso player che sul link ad un ipotetico install flash viene scaricato il file eseguibile malware che, anche questa volta muta, continuamente, in tempi brevi, sia come nome che come dimensione del file e codice,

modificando cosi' anche la risposta del riconoscimento malware

A breve intervallo di tempo infatti avevamo con VT


ed anche

Sulla pagina e' sempre presente anche l'Iframe (in verde sullo screenshot del source ) che punta ad altra pagina che al momento sembrerebbe solo attiva forse per tracciare meglio chi visitasse il sito Waledac ma non escludendo la eventuale possibilita' che ad essa possano venire associati exploit di vario genere.

Edgar
(continua)

Nessun commento: