mercoledì 22 febbraio 2012

Spam pericoloso attraverso messaggi email in italiano e link a malware. Nuova distribuzione ed ulteriori aggiornamenti (22 febbraio)

Anche nella giornata di oggi, 22 febbraio, parrebbero essere attivi alcuni links che propongono malware sotto la ormai ben nota forma di file .zip contenente fake doc o pdf.

Ci sono comunque diversi particolari che differenziano la distribuzione attuale da quella abbastanza estesa della giornata di ieri.

Ecco una attuale segnalazione online di mail di spam

contenente un messaggio dal testo ancora piu' ridotto rispetto a quelli precedenti e che, tra l'altro, non riporta piu' alcun riferimento a 'Monte Biz' come accadeva ieri.

Il sito compromesso che ospita il malware presenta whois IT

e questa volta, nel medesimo folder incluso, troviamo tutti e due i files ossia Dettagli.zip e Confermata.zip.

Scaricando gli zip ed analizzando gli headers,

,se riteniamo attendibile il timestamp visualizzato, possiamo anche rilevare che gli stessi parrebbero essere stati uploadati sul sito compromesso nella serata di ieri ed entrambi allo stesso momento.
Inoltre una analisi dei codici di checksum mostra che, pur con nome identico ai precedenti zip, i valori sono diversi e quindi naturalmente anche i contenuti.

La riprova e' che verificando attraverso VT la risposta ai software AV abbiamo sempre 15 positivi come ieri ma alcuni differenti software attivi ed altri che ora non rivelano piu' il file malware (evidenziati in rosso):

Ecco un odierno report VT

confrontato con quello di ieri 21/2

Parrebbe quindi trattarsi di diversa distribuzione malware comunque probabilmente sempre legate a quella vista ieri.

Edgar

Nessun commento: