venerdì 10 luglio 2009

Aggiornamento reports VT di analisi file Waledac botnet ed Exploit IE6-IE7 (10 luglio 09)

Una nuova analisi VT eseguita questa mattina (10.00 AM ora Thai) presenta per quanto si riferisce al file eseguibile distribuito dalle pagine Waledac un risultato che ci riporta ad una situazione di riconoscimento del worm simile alle prime ore della sua comparsa in rete.

Siamo infatti, al momento, a soli 5 programmi AV che indicano il file come pericoloso e di questi solo 2 che individuano, almeno sul report VT, il file come collegato a Waledac.

A parte i parecchi softwares AV che pare abbiano ignorato sin dall'inizio il contenuto malware, questo nuovo risultato conferma il dubbio che alcuni produttori di Av attendano che la situazione si stabilizzi (fine delle continue mutazioni) per rilasciare un efficace sistema di riconoscimento, o che comunque considerino il file Waledac non eccessivamente pericoloso e/o poco diffuso per giustificare un continuo aggiornamento dei loro softwares.

Una alternativa a questo potrebbe essere il fatto che molti dei software presenti su VT che al momento ignorano il pericolo, riescano ad individuare il file se eseguiti su un pc e non su uno scanner on-line e on-demand ma francamente solo 5 programmi che danno un risultato positivo sembrano troppo pochi anche tenendo conto di tutti i limiti di una analisi VT.(versioni software Av o definizioni AV in uso non aggiornate, limitate capacita' euristiche, ridotta capacita' di analisi diversa da quella sulla firma digitale del virus, ecc....).

In ogni caso, chi a creato il file Waledac , e' riuscito ad implementare un codice veramente efficiente che muta in maniera tale da renderne molto difficile e stabile il riconoscimento nel tempo.

Relativamente invece ai files dell'exploit IE6 e IE7, di cui si e' scritto molto in questi giorni, l'analisi di due nuovi falsi files immagine, hostati su un sito , questa volta con whois,

presenta un buon incremento del numero dei software che individuano il contenuto pericoloso (rispetto all'8 luglio abbiamo un raddoppio del numero dei softwares AV che danno un positivo)

Questa l'analisi VT di go.jpg

e questa di logo.gif

Sembra quindi che, vista la possibile elevata diffusione dell'exploit ai danni di IE6 e IE7, l'attenzione dei produttori di AV verso questo genere di malware sia piu' elevata , rispetto al caso del file distribuito da Waledac botnet.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)