martedì 5 luglio 2011

Intensa campagna di phishing 'Monte BIZ' con distribuzione di eseguibile probabile malware. Aggiornamenti riconoscimento VT (5 luglio – 2.30 PM thai)

Ecco un aggiornamento sulla natura del file eseguibile proposto dalle mails di phishing 'MonteBIZ' .

Si tratta di una scansione del sample scaricato attualmente (che comunque risulta identico quello di questa mattina) e che si presta a due diverse considerazioni.

La prima e' che, a distanza di poche ore dalla analisi di questa mattina, si notano un certo numero di softwares AV presenti in report VT che parrebbero identificare quantomeno che si tratta di file dai contenuti malware.

La seconda piu' particolare e' che lo stesso file ZIP analizzato in formato non compresso presenta una evidente diversita' (in negativo) del numero di software AV che individuano il malware.

Ecco i dettagli:

Questi i due files analizzati

e precisamente lo zip scaricato cliccando sul link in mail ed il file in esso contenuto (notare il nome che presenta una serie di spazi ed underscore per cercare di eludere la visualizzazione della doppia estensione, come visto questa mattina).

Ecco una analisi VT del file zippato cosi' come scaricato dal link in mail

con report che evidenzia (al momento ) 9 software che individuano in maniera piu' o meno approfondita la natura del file

Se passiamo a VT il file contenuto nello zip (quello dal lungo nome e dalla doppia estensione)si nota un calo drastico della risposta antivirus


con solo 3(tre) softwares AV che individuano il file come pericoloso:


A riprova di cio' se 'zippiamo' nuovamente il file exe genericamente come file .zip e lo rianalizziamo, torniamo ad una individuazione del malware da parte di 9 softwares AV.

In particolare parrebbe che alcuni software Av rivelino la presenza di un file zip che a sua volta contiene del codice con doppia estensione, creato allo scopo di ingannare chi scaricasse lo zip

Edgar

Nessun commento: