Gli sforzi dei creatori di malware sono sempre quelli di proporre files con contenuti pericolosi che vengono continuamente 'aggiornati' per eludere il riconoscimento da parte degli Av in commercio.
Ecco infatti una nuova 'versione' del malware distribuito da links su forum .IT che puntano a questa pagina di sito hostato su
Il sito
e' identico, come contenuti e IP di provenienza, a quello gia' visto nei giorni scorsi in questo post
Come si vede viene proposto il download di un eseguibile che permetterebbe di visualizzare un filmato online protetto.
Si puo notare da una serie di download in successione , che anche questa volta, il contenuto del file malware cambia spesso, rendendone difficoltoso il riconoscimento da parte dei software Av presenti su VT
Al momento, per quanto si riferisce ad una scansione online (quindi non escludendo che se l'antivirus e' in esecuzione sul PC possa bloccare la minaccia utilizzando differenti procedure) , solo 1 dei softwares riconosce il pericolo.
Inoltre, come si nota dalla lista dei download, il file e' scaricato da differente sito rispetto a quello che ospita il falso sito di video online
ed il nome dell'eseguibile scaricato
puo' essere facilmente modificato cambiando la parte numerica del nome del file al momento del download.
Ad esempio modificando il nome del file .exe nella url relativa abbiamo
Su medesimo IP sono presenti inoltre altri siti dal nome simile a quello da cui viene scaricato l'eseguibile malware
e che forse sono utilizzati per il medesimo scopo.
Edgar
Nessun commento:
Posta un commento