domenica 20 settembre 2009

Ancora centinaia di links su pagine myblog.it (malware e false GIF)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links a files eseguibili pericolosi spesso poco riconosciuti dagli AV.

Nella giornata di ieri (19 settembre) una ricerca in rete

portava ad individuare numerosi blog creati di recente su myblog.it con inclusi all'interno decine di links a pagine che effettuano vari redirect sia su sito di falso motore di ricerca


ma anche a questo falso player con l'ennesimo eseguibile mascherato da flash plugin e necessario per poter visualizzare il filmato


Una analisi VT dimostra il sempre basso riconoscimento del malware (dalle indicazioni di VT potrebbe anche trattarsi di FAKE AV)

mentre una analisi Anubis evidenzia ancora una volta la presenza di alcune attivita' di rete eseguite dal malware.

In particolare

si nota che il malware tenta il download di files immagine in formato GIF da alcuni servers.
Ecco una gallery delle immagini GIF e precisamente titem.gif che , a rotazione, vengono scaricate, se ci si collega ad uno degli indirizzi web proposti da Anubis

Si tratta di immagini di dimensione in pixel veramente ridotta (praticamente delle thumbnails ) che al contrario presentano una dimensione in Kb del file molto alta se paragonata al loro contenuto grafico.

Una analisi con uno dei tanti siti di “exif viewer” presenti in rete conferma che a parte i dati effettivi dell'immagine gif e' presente una parte del file come 'commento', dalle dimensioni notevoli.
Utilizzando il viewer di default di XP possiamo verificare, anche se in maniera empirica, le dimensioni dei dati inserti come commento, in quanto se carichiamo le immagini GIF dal disco con il viewer XP e le ri-salviamo, la parte di file relativa al 'commento' viene ignorata e non piu' salvata.

Se paragoniamo le dimensioni originali dei files GIF scaricati con quelle dei file GIF caricati e salvati dal viewer XP otteniamo quindi questi risultati

che sembrano dimostrare che tutte le immagini GIF, indipendentemente dalla loro dimensione originale, hanno circa 288 Kb di dati inclusi, oltre che ai normali dati immagine.

Ancora una volta sembrerebbe esserci quindi la conferma che non ci troviamo di fronte a normali GIF ma a files immagine che al loro interno nascondono del codice, cryptato, per evitare eventuali analisi da parte dei software AV.
Una volta scaricata l'immagine GIF detto codice verra' estratto e decodificato da apposito codice presente nel malware in esecuzione sul PC.
Una scansione con VT dei files GIF originali scaricati non rileva alcun malware presente mentre in rete a questo indirizzo web, si trova un post che confermerebbe il contenuto 'extra' dei files GIF esaminati.

Edgar

Nessun commento: