mercoledì 5 gennaio 2011

Ritorna Waledac ? Aggiornamento (4 gennaio 2011)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili pericolosi e poco riconosciuti dai softwares AV.

Ancora un breve aggiornamento al riguardo della distribuzione di malware a supporto di botnet.

Continua attraverso diversi domini in fast-flux gia' visti nei giorni scorsi la distribuzione di un eseguibile e links ad exploit attraverso mails di spam di auguri.

Esistono alcune analogie di questa nuova campagna di spam con le precedenti legate alle botnet, prima StormWorm e Waledac poi, mentre la differenza piu' rilevante rispetto alle precedenti 'distribuzioni' legate a Waledac e' forse la presenza di un codice che genera l'invio di mails di spam direttamente rilevabile quando viene eseguito il falso install di flash player

ma anche l'eseguibile (flash2.exe)

scaricato da remoto al momento dell'esecuzione del codice malevolo sul PC (da notare sempre differenti icone per i files scaricati)

Come gia' visto il sistema di distribuzione malware consiste questa volta in un numero maggiore di redirects rispetto alla passata Waledac in quanto la mail (questo un esempio di una generata in automatico dal software installato sul PC)

redirige prima su sito compromesso che tramite ulteriore redirect

punta ad uno dei domini in fast flux con la consueta pagina.

Una analisi con Webscanner dimostra che tutti i domini fast-flux segnalati da shadowserver.org sono attualmente attivi

e propongono sia l'eseguibile di falso install flash che un redirect su pagina con probabile exploit.

L'analisi dei due files vede con VT un riconoscimento abbastanza basso sia per il fake flash install

che per il file scaricato da remoto in automatico (flash2)

Attualmente e' in corso la creazione di un nuovo report, attraverso un whois ciclico su uno dei domini attivi (eplarine.com), che verra' pubblicato a breve.

(continua)

Edgar

Nessun commento: