Vediamo ora il contenuto della homepage che presenta un certo numero di scripts offuscati malevoli
Ecco ad esempio la decodifica di uno di questi
che porta, tra l'altro, ad individuare una link a questo exploit tools "UniquePack" 
con i relativi folders
e di cui riporto la descrizione delle caratteristiche presente in rete:Exploits for Opera9, Firefox, Internet Explorer 4, 5, 6, and 7. Seperate module to exploit Adobe Reader util.printf() (CVE-2008-2992) vulnerability. Also, includes a module to deliver binaries via social engineering the visitor into accepting the download, similar to Fake AV.
L'attivita' di rete legata alla homepage compromessa
mostra una notevole serie di connessioni a diversi indirizzi tutti con contenuti malevoli di vario genere (exploits PDF, Windows, ecc....) che sembrerebbero comunque legati all'uso del tool "UniquePack"Edgar
4 commenti:
una domanda: il sito in questione mi ha scaricato un eseguibile che sembra appartenere alla botnet Waledec
confermi?
l'eseguibile è questo:
http://www.virustotal.com/it/analisis/96a4d1e4554b1dbba7008812e3e0d972
nel mio caso specifico, è stata sfruttata una vulnerabilità in Acrobat Reader 7
ciao e grazie :)
A meno che non si tratti di una nuova variante ben diversa dal solito non credo siamo di fronte ad un file del tipo Waledac in quanto al momento mi risulta che i files di tipo waledac vengano linkati solo dalle pagine hostate dalla botnet, come le nuove pagine presenti da poche ore in rete (vedi ultimo mio post) ... ed anche ultimamente sembrerebbe esserci qualche relazione tra il noto conficker “ .......In addition, Conficker reaches out to a domain that is known to be infected by a worm called Waledac and downloads an encrypted file. .......” ed un possibile download da sito waledac.
A vedere il report VT che hai postato mi sembrerebbe un malware di altra natura anche se un antivirus rileva un walepack ma comunque solo uno.
Prova un attimo a passare il file o il link a wepawet ed anubis e vedere i report generati.
Edgar
questo è il report di wepawet:
http://wepawet.iseclab.org/view.php?hash=b6e947ce126e738a935950819154928e&t=1239892220&type=js
anche se li dice che nn c'è nessun exploit, analizzando uno dei link malevoli:
http://wepawet.cs.ucsb.edu/view.php?type=js&hash=bc2e9aa85b7f80634e5b7e5df0e76324&t=1238341867
dove si parla di un exploit acrobat, quindi i conti tornano: oggi ho riprovato, e si ripete l'exploit
visitando invece il sito senza acrobat, nn è partito nulla, nessun file scaricato, anche se noto un certo download di dati da uno dei link malevoli...però nessun danno apparente...
questo è invece il report di anubis:
http://anubis.iseclab.org/?action=result&task_id=1d7eeb63441180d94f97d096342d9a79c
secondo te di che natura è quel malware?
grazie, ciao :)
Secondo me siamo in presenza di un exploit PDF (si vede anche analizzando uno degli scripts offuscati che punta es a pdf.php) e che una volta attivo tenta di scaricare ed eseguire uno dei tanti trojan che ci sono in giro al momento
Non credo comuque che sia collegato alla botnet Waledac.
Posta un commento