venerdì 28 settembre 2007

Ritornano online alcuni server fastflux botnet.

Sono tornati online, dopo un po di giorni di stop, alcuni dei siti collegati alla rete fast-flux botnet che distribuisce malware attraverso mails di spam.
Al momento risultano attive le url:
tibeam.com;
ptowl.com;
che presentano la solita pagina di arcade world games (vedi post relativo) e che ora linkano al file eseguibile dal nome ArcadeWorldGame.exe che e' pero' scaricabile con difficolta'.
Anche i 2 siti, per ora, non sembrerebbero raggiungibili facilmente e risultano spesso offline.

Un soluzione per verificare il nuovo file exe e' stata quella di utilizzare il solito IP italiano che ormai da circa un mese risulta attivo 24 ore su 24 ( 88.34.104.3 ) e che e' raggiungibile facilmente e con discreta velocita.
Dovrebbe , come gia' scritto, trattarsi di pc infetto (forse usato come server) che fa parte della rete botnet fast-flux e che risulta sempre connesso ad internet.

Ecco il report eseguito con virus total del file exe

------------------------------------------------------------------------------------------------
Complete scanning result of "ArcadeWorldGame.exe", processed in VirusTotal at 09/28/2007 03:26:03 (CET).

[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: 751e707c30248c353b7bc78ebf301e36
* sha1: 58488ffc018467f880fa700114fae128b8d9cb76

[ scan result ]
AhnLab-V3 2007.9.28.0/20070927 found nothing
AntiVir 7.6.0.15/20070927 found [Worm/Storm.tcv]
Authentium 4.93.8/20070927 found nothing
Avast 4.7.1043.0/20070928 found nothing
AVG 7.5.0.488/20070927 found [Downloader.Tibs]
BitDefender 7.2/20070928 found [Trojan.Peed.IKZ]
CAT-QuickHeal 9.00/20070927 found [(Suspicious) - DNAScan]
ClamAV 0.91.2/20070927 found [Trojan.Peed-3]
DrWeb 4.33/20070927 found [Trojan.Packed.142]
eSafe 7.0.15.0/20070923 found [Suspicious Trojan/Worm]
eTrust-Vet 31.2.5169/20070927 found nothing
Ewido 4.0/20070927 found nothing
F-Prot 4.3.2.48/20070927 found nothing
F-Secure 6.70.13030.0/20070928 found [Email-Worm.Win32.Zhelatin.jw]
FileAdvisor 1/20070928 found nothing
Fortinet 3.11.0.0/20070927 found [W32/PackTibs.C]
Ikarus T3.1.1.12/20070928 found [Email-Worm.Win32.Zhelatin.jw]
Kaspersky 7.0.0.125/20070928 found [Email-Worm.Win32.Zhelatin.jw]
McAfee 5129/20070927 found nothing
Microsoft 1.2803/20070928 found [Trojan:Win32/Tibs.CG]
NOD32v2 2556/20070928 found [Win32/Nuwar.Gen]
Norman 5.80.02/20070927 found [Tibs.gen165]
Panda 9.0.0.4/20070927 found nothing
Prevx1 V2/20070928 found nothing
Rising 19.42.40.00/20070928 found nothing
Sophos 4.21.0/20070928 found nothing
Sunbelt 2.2.907.0/20070926 found nothing
Symantec 10/20070928 found nothing
TheHacker 6.2.6.072/20070927 found [W32/Zhelatin.gen]
VBA32 3.12.2.4/20070927 found nothing
VirusBuster 4.3.26:9/20070927 found [Trojan.Tibs.Gen!Pac.132]
Webwasher-Gateway 6.0.1/20070928 found [Worm.Storm.tcv]

--------------------------------------------------------------------------------------------

Solo circa il 50% degli antivirus rileva la minaccia; al momento abbiamo la NON positivita' del file con Sophos, Symantec, McAfee;
Panda si conferma come al solito uno degli antivirus che, almeno su nuovi malware, non rileva la presenza della minaccia mentre, questa volta, NOD32 rileva il pericolo.
Inoltre confrontando l'md5 dello stesso file exe scaricato a distanza di poco tempo abbiamo differenti valori, segno della continua modifica del codice malevolo per cercare di renderne difficile l'individuazione da parte degli antivirus.

[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: 751e707c30248c353b7bc78ebf301e36
* sha1: 58488ffc018467f880fa700114fae128b8d9cb76

[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: d066e3d154c7fff9f242650fe38c301c
* sha1: 133a55a7d1909e2274eded507aa7bccce22428ad


Aggiornamento 30 settembre
I domini
tibeam.com
ptowl.com
eqcorn.com
sembrano di nuovo online anche se molto lenti come caricamento della pagina web con malware che al momento e' sempre WorldArcadeGames.

Aggiornamento 3 ottobre
Il file WorldArcadeGames.exe continua ad essere presente sulle pagine del falso sito di giochi arcade raggiungibili questa mattina sul dominio ptowl.com
L'analisi del file sottoposto a VirusTotal da' i seguenti risultati

----------------------------------------------------------------------
[ file data ]
* name: ArcadeWorldGame.exe
* size: 141181
* md5.: adfddf48db61068d726cd35c71e3b413
* sha1: c3e20207ac4a2ffc4b07142748f9a90fe6e8fed4
----------------------------------------------------------------------------------------------------
[ scan result ]
AhnLab-V3 2007.10.3.0/20071002 found nothing
AntiVir 7.6.0.18/20071002 found [Worm/Storm.tvx]
Authentium 4.93.8/20071002 found nothing
Avast 4.7.1043.0/20071002 found nothing
AVG 7.5.0.488/20071002 found [Downloader.Tibs.7.AG]
BitDefender 7.2/20071003 found [Trojan.Downloader.Tibs.GXV]
CAT-QuickHeal 9.00/20071002 found [(Suspicious) - DNAScan]
ClamAV 0.91.2/20071002 found nothing
DrWeb 4.44.0.09170/20071002 found [Trojan.Packed.142]
eSafe 7.0.15.0/20071002 found [Suspicious Trojan/Worm]
eTrust-Vet 31.2.5181/20071002 found nothing
Ewido 4.0/20071002 found nothing
F-Prot 4.3.2.48/20071003 found nothing
F-Secure 6.70.13030.0/20071002 found [Email-Worm.Win32.Zhelatin.jy]
FileAdvisor 1/20071003 found nothing
Fortinet 3.11.0.0/20071002 found [W32/Tibs.JX@mm]
Ikarus T3.1.1.12/20071003 found nothing
Kaspersky 7.0.0.125/20071003 found [Email-Worm.Win32.Zhelatin.jy]
McAfee 5132/20071002 found [Tibs-Packed]
Microsoft 1.2803/20071003 found [TrojanDropper:Win32/Nuwar.gen!avkill]
NOD32v2 2567/20071002 found [Win32/Nuwar.Gen]
Norman 5.80.02/20071002 found [Tibs.gen166]
Panda 9.0.0.4/20071003 found nothing
Prevx1 V2/20071003 found nothing
Rising 19.43.10.00/20071002 found nothing
Sophos 4.22.0/20071003 found nothing
Sunbelt 2.2.907.0/20071002 found nothing
Symantec 10/20071003 found [Trojan.Packed.13]
TheHacker 6.2.6.075/20071001 found nothing
VBA32 3.12.2.4/20071002 found nothing
VirusBuster 4.3.26:9/20071002 found [Trojan.Tibs.Gen!Pac.132]
Webwasher-Gateway 6.0.1/20071002 found [Worm.Storm.tvx]
-----------------------------------------------------------------

Aggiornamento 4 ottobre

Al momento sono tornati online, con la solita pagina web di giochi arcade da scaricare, 4 domini delle rete stormworm botnet e precisamente

wxtaste.com
eqcorn.com
tibeam.com
ptowl.com

Un whois eseguito in loop su tibeam.com tramite uno script Autoit mostra che gli IP dei computers che fanno parte della rete botnet sono sempre sparsi in tutto il mondo con una marcata prevalenza degli USA.
Questo e' il risultato di un whois eseguito per una decina di minuti sul dominio tibeam.com (un whois ogni circa 4 secondi):


per un totale di 159 indirizzi IP (computers) univoci rilevati (gli ip si ripetono ciclicamente)
Si puo vedere come gli IP USA siano nettamente in maggioranza, seguono Polonia, Russia, Inghilterra, Romania, Taiwan. Olanda Francia e altri stati tra cui l'Italia con un solo indirizzo IP su TelecomItaliaS.p.A.TINEASYLITE che si e' ripetuto 4 volte durante la scansione.

Aggiornamento 8 ottobre

Le pagine dei siti ArcadeWorldGames contengono adesso anche un codice javascript offuscato su due livelli.
Qui vedete il sorgente della pagina WorldArcadeGames visualizzato tramite una utility che pubblichero' prossimamente e che permette di visionare i sorgenti , anche leggendo le url o gli IP da una lista salavata su file txt, senza dover aprire il browser.


Ed ecco il primo livello del codice javascript decodificato

che contiene a sua volta un altro codice javascript offuscato.


Edgar




Edgar

9 commenti:

lucass ha detto...

"Panda si conferma come al solito uno degli antivirus che, almeno su nuovi malware, non rileva la presenza della minaccia"
Questa affermazione lascia il tempo che trova, anche kaspersky non rilevava alcune varianti ma il pdm le bloccava, certo, virus total è utile ma, alcuni av bloccano il malware una volta eseguito in base al loro comportamente, cosa che non puoi constatare su virustotal, poi, se permetti questo vale per tutti gli av, non puoi giudicare l'euristica di un av solo su una determinata famiglia di malware, è limitata come cosa.

Questo link l'ho ricevuto oggi via email è funziona

These are all the games you will ever want. And there FREE
http:// 75.133.149.44/

Ciao

Edgar Bangkok ha detto...

Premetto che non ho nulla contro Panda AV, anzi per un po di tempo l'ho usato. e non conosco come VirusTotal abbia settato l'ambiente di test.
Se hanno settato correttamente il tutto dovrebbero aver riprodotto l'uso di un AV nelle condizioni normali di utilizzo su un pc.
La mia era solo una constatazione in base ai risultati di VirusTotal che non ha mai visto Panda rilevare una minaccia sul file scaricato dai siti stormworm.
Puo darsi che sia solo questione di setup delle opzioni usate da VirusTotal quando usa Panda (euristica abilitata ecc...) ma se non altro vuole dire che l'aggiornamento del database delle firme dei virus non e' fatto con la stesa frequanza che altri AV dato che non alcune varianti ma tutte quelle del malware storm non sono mai state rilevate oppure come dici te PAnda utilizzera' un altro sitema per evidenziare la minaccia solo quando si e' attivata.
Poi non c'e' solo Panda con questi problemi, vedi NOD32 e altri .. ma mi sembrava quantomeno strano che un software conosciuto come Panda non riesca a rilevare niente, neanche un generico pericolo.
Normalemnte , vedendo i test eseguiti con virus total, anche se un malware non viene subito rilevato dopo qualche ora, o al massimo un giorno la maggior parte degli AV lo rilevano (firme av aggiornate) con Panda e strom worm non l'ho mai verificato.
Io preferisco usare un Av che anche facendo la sola scansione del file mi dica gia' qualcosa sul sul contenuto senza aspettare che si attivi per rilevarlo.
Ciao

Edgar Bangkok ha detto...

Sempre al riguardo di Panda che potrebbe non funzionare a dovere quando eseguito su virustotal ho voluto fare una piccola prova.Panda ha, come quasi tutti i produttori di Av, la possibilita' di fare una scansione online.
A parte che la scansione online supporta solo explorer come browser e questo e' gia' una imitazione, comunque dovrebbe essere ottimizzata per PANDA AV, senza contare che sta moltissimo tempo a scaricare le definizioni aggiornate dei virus, e come dicono sul loro sito " ActiveScan is updating to detect the most recent viruses and spyware. What’s more, through the TruPrevent™ Technologies, ActiveScan detects viruses and other threats that traditional antivirus products cannot detect."
Si presume quindi che dovrebbe essere una scansione affidabile.e completa....
Ho fatto una scansione di Worldarcadegame.exe, il solito malware, ed il risulato e' stato :
No viruses or other malicious software have been found

lucass ha detto...

Io intendevo altro e non mi riferivo a panda, il mio era un discorso generale, mettiamo caso che un malware non viene rilevato ne da panda ne da kaspersky, cito questi 2 solo perchè hanno un behaviour blocker, se tu lo vai ad eseguire su un pc normale, è probabile che venga bloccato dalla proattiva, in questo caso il risultato è positivo, questa cosa non puoi verificarla analizzando il file su virustotal, per l'aggiunta di sample, pochi l'aggiungono dopo poche ore dal loro arrivo ai vari labs, alcuni impiegano ore, alcuni giorni dipende anche dalla pericolosità e dalla loro diffusione, panda totalscan è aggiornato di continuo e supporta anche firefox come browser, pochi scanner on-line supportano browsers diversi da IE quindi questo appunto va fatto a tutti.

Ciao

Edgar Bangkok ha detto...

In ogni caso mi pare di capire che avere uno scanner online, come il Panda ActiveScan with TruPrevent, che ho provato prima, non sia una buona pubblicita' se poi al momento dell'utilizzo si scopre che ha dei limiti ben precisi come tu giustamente evidenzi riferendoti all'aggiornamento delle firme dei virus (..... alcuni impiegano ore, alcuni giorni ....)


Edgar

Ciao

lucass ha detto...

Ok, lasciamo stare, io dico A tu mi rispondi B.

Buon fine settimana

Edgar Bangkok ha detto...
Questo commento è stato eliminato dall'autore.
Edgar Bangkok ha detto...

Guarda che ho capito il senso dei tuo pst, mi pare che dica che non bisogna dare come risolutive le scansioni online per stabilire l'efficacia di un antivirus in quanto un antivirus, se progettato bene, utilizza anche altri sitemi per rilevare le minacce e la sola scansione a volte puo' dire poco sull'efficacia del software antivirus.

Buon fine settimana.

Ciao

Anonimo ha detto...

Scusate se mi intrometto ma non mi sembra che si dica A e si risponda B. Quello che dice Edgar è corretto. Panda sulle nuove minacce non poi così forte. Nemmeno con la sua euristica. Nella scan online su ActiveScan la funzione TruePrevent è attiva e dovrebbe, proprio perchè si tratta di un protezione preventiva, rilevare minacce sconosciute attraverso l'analisi comportamentale dei processi in esecuzione. Dico dovrebbe, perchè molto spesso invece non rileva nulla.