venerdì 7 settembre 2007

Aggiornamenti malware via Fast-Flux e statistiche

07 settembre

Adesso il file TOR.EXE presente nelle pagine collegate alla rete FAST-FLUX e' rionosciuto come malware dal 53% dei software antivirus presente nella lista di Virus Total. (tra quelli che ancora non lo riconoscono abbiamo Microsoft... Avast ... Panda ecc....)
Da notare che sia Kasperski che F.Secure identificano il malware come Email.Worm win 32 Zhelatin.ir, probabilmente una variante di quello gia' noto per i precedenti attacchi via e-mail.

E come avevo preannunciato nel precedente post puntualmente sta iniziando ad arrivare la mail con l'iinvito a scaricare TOR.



Tramite un piccolo script in AUTOIT ho cercato di vedere se si poteva risalire all'origine dei computers che fungono da tramite per la distribuzione delle pagine webs contenenti in malware.
Un primo risultato (sempre che sia attendibile verificare come cambia l IP del sito con malware in un loop di letture) e questo grafico, relativo al dominio snbane.com che mostra il numero degli ip rilevati suddivisi per nazione interrogando ripetutamente la pagina web contenente malware.


A mio avviso e' anche importatante rilevare che al momento della scansione l'orario corrispondeva ad un intervallo dalle 5 alle 6 AM in Europa e quindi sara' interessante vedere in ore diverse se il numero degli ip europei connessi alla pagina web cambiera' con la presumibile accensione di piu' pc nell vecchio continente.
La tabella qui sotto riporta il numero degli ip sempre suddivisi per nazione a cui faceva riferimento snbane.com nell'arco delle 300 scansioni.



Sembra che , sempre considerando attendibile lo script, in USA i computers compromessi dal malware siano parecchi.

work in progress .............

Edgar

Nessun commento: