martedì 16 giugno 2009

Aggiornamento malware 16/6. Un eseguibile quasi sconosciuto

Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Gli sforzi dei creatori di malware sono sempre quelli di proporre files con contenuti pericolosi che vengono continuamente 'aggiornati' per eludere il riconoscimento da parte degli Av in commercio.

Ecco infatti una nuova 'versione' del malware distribuito da links su forum .IT che puntano a questa pagina di sito hostato su


Il sito

e' identico, come contenuti e IP di provenienza, a quello gia' visto nei giorni scorsi in questo post

Come si vede viene proposto il download di un eseguibile che permetterebbe di visualizzare un filmato online protetto.

Si puo notare da una serie di download in successione , che anche questa volta, il contenuto del file malware cambia spesso, rendendone difficoltoso il riconoscimento da parte dei software Av presenti su VT


Al momento, per quanto si riferisce ad una scansione online (quindi non escludendo che se l'antivirus e' in esecuzione sul PC possa bloccare la minaccia utilizzando differenti procedure) , solo 1 dei softwares riconosce il pericolo.


Inoltre, come si nota dalla lista dei download, il file e' scaricato da differente sito rispetto a quello che ospita il falso sito di video online


ed il nome dell'eseguibile scaricato


puo' essere facilmente modificato cambiando la parte numerica del nome del file al momento del download.

Ad esempio modificando il nome del file .exe nella url relativa abbiamo



Su medesimo IP sono presenti inoltre altri siti dal nome simile a quello da cui viene scaricato l'eseguibile malware

e che forse sono utilizzati per il medesimo scopo.

Edgar

Nessun commento: