giovedì 20 agosto 2009

Falsi player, falsi plugin flash e strane immagini .GIF (aggiornamento 20 agosto 09)

La distribuzione di malware e' sempre molto attiva utilizzando files eseguibili proposti come player video o Flash plugin

Ecco un breve report di alcuni eseguibili scaricati in data odierna con la relativa provenienza ed IP:




Ed ecco alcuni dettagli:

Negli ultimi giorni e' molto attivo questo sito,

che utilizza il ben noto layout clone di Youtube,

e che presenta whois

La cosa interessante e' che sono numerosi i forum anche .IT che linkano tutti in data odierna, attraverso i consueti falsi post, a questo sito che risulta essere attualmente uno dei piu' attivi in rete.

Il file eseguibile che viene fatto scaricare e' al momento praticamente sconosciuto ai software AV almeno per quanto riguarda una scansione on line e ondemand attraverso Virus Total.

Altra curiosita' riguarda invece i contenuti del file eseguibile flash-plugin.40070(dot)exe scaricato da altra pagina di falso player presente in rete sempre linkata da falsi post su forum .IT

Da una analisi con l'ausilio di Anubis

e' interessante notare la presenza, gia' vista altre volte, di una attivita' di rete, al momento della esecuzione del malware, con il download di alcune immagini gif:
Dato che non e' molto credibile che un malware si limiti a scaricare qualche innocua immagine da server remoti, vediamo in dettaglio i contenuti di questi files immagine.

Si tratta di alcune semplici gif che vediamo sia nella versione scaricata che come copia creata salvando l'originale con il viewer di windows e che useremo per paragonare le dimensioni dei files.


Da quanto si legge in rete si tratterebbe infatti di GIF particolari che al loro interno conterrebbero oltre che ai dati immagine anche un codice di alcune centinaia di Kb che in realta e' codice malevolo, in modalita' criptata, e la cui chiave di decrypt sarebbe anch'essa scaricata da un sito coinvolto nella distribuzione del malware.

A riprova di questo se analizziamo le immagini originali e le relative copie possiamo vedere che pur con il medesimo risultato grafico abbiamo una notevole differenza nelle dimensioni dei files gif , cosa che confermerebbe la presenza all'interno degli originali di codice inserito in maniera nascosta .(in pratica salvando una copia della gif con il viewer utilizzato non viene salvata quella parte di dati che costituisce il 'commento'.)

Inoltre, a parte le differenze di dimensione dei files tra gli originali e le copie, una analisi del contenuto dei files gif scaricati mostra la presenza di una grande quantita' di dati proprio come commenti aggiunti all'immagine stessa

C'e comunque da dire che una analisi VT dei files GIF originali scaricati da esito negativo in quanto a presenza di malware o codici pericolosi ma questo potrebbe spiegarsi con il fatto che il contenuto pericoloso e' criptato.

Inoltre anche altre fonti in rete sembrerebbero confermare l'inserimento di codice malevolo criptato all'interno delle immagini come ad esempio:

'........ Hidden inside these viewable GIF files (as comment blocks) are encrypted malware executables. After retrieving the files, the downloader extracts the comments, transforms them back into malware, and executes them......... '

In ogni caso si tratterebbe comunque di un ingegnoso sistema per mascherare la presenza di codice malware evitandone il riconoscimento da parte dei softwares AV.

Ricordo, come sempre a chi volesse visitare le pagine proposte negli screenshots, di utilizzare tutte le precauzioni del caso, in quanto si tratta di malware attivo, ed in alcuni casi , quasi totalmente sconosciuto ai softwares AV.

Edgar

Nessun commento: