Questa una attuale pagina di un nuovo blog creato ieri,
che contiene al suo interno centinaia di links (notate i nomi ingannevoli dei links che fanno pensare es. a codici di attivazione di software AV)
I links puntano, in questo caso, a sito compromesso Usa
che a sua volta tramite il consueto javascript debolmente offuscato
redirige sul sito che si occupa di proporre differenti pagine (su ulteriori siti) , tutte con contenuti poco affidabili se non, come in questo caso, che tentano di ingannare il visitatore facendogli credere di dover utilizzare un plugin per visionare il filmato
Anche la homepage del sito che propone il fake player mostra la cura con la quale si e' costruito un layout di sito che dovrebbe distribuire filmati interessanti
ma che in realta' ha la totalita' delle aree cliccabili che puntano sempre e comunque al falso eseguibile plugin uguale a quello scaricabile dal player visto ora. (ecco un dettaglio dei links nella pagina)
La cosa interessante e' che, come succede spesso viene posta una particolare cura per tentare di evitare il riconoscimento del file da parte dei software AV, attraverso la modifica continua del codice eseguibile.
Questo un report VT
che seguito da un secondo report su un nuovo file scaricato dopo qualche minuto mostra differente codice MD5 ma uguale risposta da parte dei softwares AV
A distanza di ore dal primo download, se proviamo a scaricare un ulteriore eseguibile, ecco cosa succede
Anche se il nome del file e' rimasto identico ai precedenti, non solo le dimensioni sono cambiate (e chiaramente anche il codice MD5) ma la risposta dei softwares AV invece di migliorare, sta peggiorando , essendo ora solo 8 i softwares che individuano il pericolo.
Tra l'altro si puo' anche notare che c'e' stato un notevole cambiamento nei nomi dei softwares che ora riconoscono il malware rispetto alla prima analisi VT.
Ricordo anche che trattandosi di una scansione on-line on-demand, rimangono comunque possibili limiti , gia' illustrati in passato, sulla risposta dei softwares AV.
Edgar
Nessun commento:
Posta un commento