venerdì 17 luglio 2009

Un file eseguibile malware niente o poco riconosciuto

AVVISO IMPORTANTE!
Ricordo che anche se il link all'eseguibile malware e' lasciato in chiaro nello screenshot per chi volesse analizzarlo, ricordo che si tratta di file tuttora online e scarsamente riconsciuto.

Continua la presenza in rete di malware che viene costantemente aggiornato dai suoi creatori per renderne difficile il riconoscimento.

Quello che esaminiamo adesso e' un file eseguibile che veniva linkato nella serata di ieri (ora thai) da piu' di 300 collegamenti presenti in maniera nascosta su sito italiano di distribuzioni musicali. ( dopo qualche ora il sito appariva bonificato dai numerosi links )

Tutti i links presenti puntavano a pagine come questa,

che presentano due scelte per accedere o non accedere al presunto sito di filmati porno online.

In effetti vedendo il contenuto dei links si puo' notare che la scelta di una o dell'altra opzione e' assolutamente ininfluente sul risultato

Questa la classica pagina del falso player (con una grafica differente da quelle gia' viste in passato ) che propone di utilizzare una nuova versione aggiornata di Flash Player 10 ed in assenza della quale non sara' possibile visionare il filmato.

Come si vede viene proposta una nuova release di Flash Player vers. 10.45... mentre la REALE versione attualmente disponibile per il download da Adobe e'

Ed ecco come si presentava una analisi del file malware nella serata di ieri
ossia riconoscimento nullo da parte dei softwares su VT.

Questa volta pero', il sito Virscan, che di solito presenta risultati di scansioni online di malware, con minor numero di positivi, ha evidenziato il contenuto pericoloso del file , con due dei software presenti sul report. ( softwares presenti anche tra quelli usati da VT ma evidentemente con diverse impostazioni sulla profondita' e tipo di analisi da eseguire in quanto se prendiamo per buone le indicazioni dei reports , i due softwares sembrano utilizzare in entrambi i casi sia la medesima versione del software che dell'aggiornamento)



Una analisi Anubis ha mostrato comunque un certo numero di connessioni di rete stabilite dal software quando in esecuzione, cosa confermata anche da Threat Expert.

Tra i vari links presenti sui report Anubis e Threat Expert quasi tutti che puntano in Usa abbiamo anche un IP con whois appartenente a Panama.
Un a verifica dei codici hash dimostra inoltre che per ogni successivo download il codice muta costantemente cercando di rendersi ulteriormente nascosto ad una analisi antivirus.

Nella mattinata di oggi (ora thai) come gia' scritto, il sito risulta bonificato, alcune pagine che eseguivano il redirect sono messe offline, ma la distribuzione del malware continua tramite il sito gia' visto, ed una analisi dell'eseguibile mostra adesso un riconoscimento , sempre a livelli quasi nulli, come si vede da questo report VT.

Edgar

Nessun commento: