venerdì 4 dicembre 2009

Diffusione di Flash-HQ-plugin.xxxxxxx.exe (aggiornamento 4 dicembre )

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

In precedenti post abbiamo visto i diversi metodi di distribuzione del file eseguibile Flash-HQ-plugin.xxxxx.exe, (xxxxx come numero casuale) e gli sviluppi della sua distribuzione in rete.

A distanza di una decina di giorni, non solo la distribuzione dell'eseguibile continua, ma il suo riconoscimento, da una analisi VT, risulta praticamente nullo


Ecco alcuni metodi di 'distribuzione' attivi al momento

Questo blog, di sezione regionale di noto sindacato italiano (gia utilizzato spesso in passato ai fini di distribuire links a malware)


mostra, come succede da tempo, i post aggiornati quotidianamente con sempre nuovi links a pagine che tramite ulteriori redirect, puntano al 'solito' falso player


che distribuisce l'eseguibile pericoloso.

La spiegazione di come possano essere utilizzati forum per questi scopi e' chiaramente presente osservando la pagina dell'elenco dei post e cioe' la scritta 'moderatori = nessuno “

Sempre rimanendo su forum male o per niente amministrati, ecco questo post, in data recente, che visualizza direttamente anche il fake player, che se cliccato ripropone lo stesso eseguibile gia' visto.

Per quanto si riferisce alla fonte di links distribuiti da blogs creati allo scopo, anche se i blogs fasulli vengono messi off-line quasi subito, rimangono sempre disponibili, visto il continuo 'aggiornamento' alcune pagine di su Myblog.it con centinaia di links

che tramite il solito redirect su fake blog ospitato su sito compromesso


propongono questo player, dal differente layout, ma sempre con il medesimo eseguibile scaricabile.


Per tutti questi casi visti ora la fonte del file malware e' comune

e risiede su sito hostato su IP olandese


Anche se i risultati VT sono inesistenti per quanto si riferisce alla probabile natura del file una analisi www.threatexpert.com rivela qualche particolare in piu' sull'attivita dell'eseguibile.

Questo il link all'analisi del file:
http://www.threatexpert.com/report.aspx?md5=26b585dc65f55d4f098bc7c4163a094d

Come si nota, viene rilevato come probabile fake AV,

mentre e' interessante notare nel report, la grande quantita' di connessioni di rete attivate dal malware.

Edgar

Nessun commento: