Qualche mese fa' avevo pubblicato un post al riguardo del problema del typo squatting, cioe' di quei siti creati volutamente con una URL simile a quella del sito originale, per approfittare degli errori di digitazione nel browser e reindirizzare la navigazione internet a siti che linkano quasi sempre a files eseguibili contenenti malware.
Una lista in formato PDF di siti italiani di typo-squatting e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.
Partendo da questa lista avevo anche creato un file .TXT compatibile con il programma HostMan. (Il file txt di url typo-squatting compatibile con HostMan lo trovate qui)Da allora, per qualche mese, per essendo online i siti con url typo-squatting digitando uno di questi indirizzi fasulli non si veniva reindirizzati ad alcun sito, mentre precedentemente si veniva reindirizzati su vvv.ragzze-spiate.com e da qui ad altre pagine con malware.
Una verifica eseguita oggi, ha invece mostrato, che il sito ragazze-spiate e' tornato attivo, anche se con differente layout e chiaramente differente malware allegato.
Il whois del sito punta a server USA (IP 75.126.144.219) (range 75.126.0.0 - 75.126.255.255 SoftLayer Technologies Inc. USA) mentre il whois del server su cui e' hostato il malware punta sempre a server USA ( IP 74.53.110.2) (Range = ThePlanet.com USA 74.52.0.0 - 74.53.255.255) che, guarda caso, e' sempre quel ThePlanet che abbiamo gia' visto nel precedente post dei falsi siti Blogger.
Esaminiamo cosa succede digitando ad esempio www.corrriere.it (3 r ) la pagina che ora si apre e' questa :
Intanto possiamo vedere che nel codice e' presente una istruzione del tipo:
che tenta di installare all'apertura, se usiamo Internet Explorer, il file accesso-contenuti.exe che Virus Total rileva come:| File accesso-contenuti.exe received on 11.26.2007 16:39:39 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | - |
| AntiVir | - | - | - |
| Authentium | - | - | Possibly a new variant of W32/new-malware!Maximus |
| Avast | - | - | - |
| AVG | - | - | Win32/PEStealth |
| BitDefender | - | - | Dropped:Trojan.Sdel.B |
| CAT-QuickHeal | - | - | (Suspicious) - DNAScan |
| ClamAV | - | - | - |
| DrWeb | - | - | Trojan.DownLoader.29809 |
| eSafe | - | - | suspicious Trojan/Worm |
| eTrust-Vet | - | - | - |
| Ewido | - | - | - |
| FileAdvisor | - | - | - |
| Fortinet | - | - | - |
| F-Prot | - | - | W32/new-malware!Maximus |
| F-Secure | - | - | Trojan.Win32.Agent.aox |
| Ikarus | - | - | - |
| Kaspersky | - | - | Trojan.Win32.Agent.aox |
| McAfee | - | - | - |
| Microsoft | - | - | Worm:Win32/Semail.A |
| NOD32v2 | - | - | a variant of Win32/Semail |
| Norman | - | - | - |
| Panda | - | - | W32/Semail.A.worm |
| Prevx1 | - | - | Heuristic: Suspicious Self Modifying EXE |
| Rising | - | - | - |
| Sophos | - | - | Mal/HckPk-D |
| Sunbelt | - | - | VIPRE.Suspicious |
| Symantec | - | - | - |
| TheHacker | - | - | - |
| VBA32 | - | - | suspected of Malware.Delf.18 |
| VirusBuster | - | - | - |
| Webwasher-Gateway | - | - | Worm.Win32.Malware.gen (suspicious) |
| Additional information | |||
| MD5: 061ec2c78983991763522499cd8e71ee | |||
Inoltre tutte le immagini ed i link della pagina se cliccati (su qualunque browser) attivano il download del file accessocontenuti.exe che si viene invitati a scaricare ed installare per avere l'accesso a tutti i contenuti del sito
| File accessocontenuti.exe received on 11.27.2007 10:40:42 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | - |
| AntiVir | - | - | - |
| Authentium | - | - | Possibly a new variant of W32/new-malware!Maximus |
| Avast | - | - | - |
| AVG | - | - | Win32/PEStealth |
| BitDefender | - | - | Dropped:Trojan.Sdel.B |
| CAT-QuickHeal | - | - | (Suspicious) - DNAScan |
| ClamAV | - | - | - |
| DrWeb | - | - | Trojan.DownLoader.29809 |
| eSafe | - | - | suspicious Trojan/Worm |
| eTrust-Vet | - | - | - |
| Ewido | - | - | - |
| FileAdvisor | - | - | - |
| Fortinet | - | - | - |
| F-Prot | - | - | W32/new-malware!Maximus |
| F-Secure | - | - | Trojan.Win32.Agent.aox |
| Ikarus | - | - | - |
| Kaspersky | - | - | Trojan.Win32.Agent.aox |
| McAfee | - | - | - |
| Microsoft | - | - | Worm:Win32/Semail.A |
| NOD32v2 | - | - | a variant of Win32/Semail |
| Norman | - | - | - |
| Panda | - | - | W32/Semail.A.worm |
| Prevx1 | - | - | Heuristic: Suspicious Self Modifying EXE |
| Rising | - | - | - |
| Sophos | - | - | Mal/HckPk-D |
| Sunbelt | - | - | VIPRE.Suspicious |
| Symantec | - | - | - |
| TheHacker | - | - | - |
| VBA32 | - | - | suspected of Malware.Delf.18 |
| VirusBuster | - | - | - |
| Webwasher-Gateway | - | - | Worm.Win32.Malware.gen (suspicious) |
| Additional information | |||
| MD5: b254027b7963e8e27a8de5ebe9426aec | |||
accessocontenuti.exe presenta la stessa tipologia di malware del file accesso-contenuti.exe.
Nel codice e' anche presente un link ad un'altra pagina, che pero' nel mio caso non si attivava, ma che andando a verificare nel browser presenta un elenco di videochat che anche in questo caso linkano tutte al file hostato su latte11/mocahost.com
A titolo di prova ho utilizzato, per verificare il file malevolo accessocontenuti.exe anche il servizio offerto dal sito Anubis dell' Universita di Vienna http://analysis.seclab.tuwien.ac.at/index.php
Anubis e' uno strumento per analizzare il comportamento di eseguibili Windows con particolare attenzione all'analisi di files malware e da quanto si legge sembra che sia stata posta particolare attenzione al fatto che molti malware possono riconoscere l'ambiente virtuale nel quale vengono eseguiti e comportarsi di conseguenza. (http://analysis.seclab.tuwien.ac.at/features.php)Questa la tabella comparativa delle caratteristiche di Anubis. Rispetto a softwares similari:
A differenza di Virus Total, Anubis verifica cosa succede eseguendo il file malware e genera un lunghissimo report di cui potete vedere una piccola parte nella videata qui sotto.
Non si tratta di un elenco di nomi di antivirus con il relativo nome del virus trovato come su Virus Total ma piuttosto di un dettagliato report su come agisce il malware al momento della sua attivazione in Windows e cioe' le modifiche al file registro, i files creati, i file eventualmente sostituiti dal programma malevolo, ecc.ecc...E' comunque utile per avere qualche dato in piu' sul file pericoloso trovato, ricordando sempre che ormai, molti dei malware in circolazione, riescono a riconoscere l'ambiente in cui sono eseguiti e se rilevano ad esempio un ambiente con s.o. virtualizzato possono modificare il loro comportamento rispetto a quando vanno in run su un normale pc.
Tornando ai falsi siti typo-squatting sembra quindi che, al momento, tutte le URL, pubblicate da Sunbelt siano ritornate attive e presentino nuovamente un rischio per chi naviga in rete.
1 commento:
interessante il sito di analisi. Una cosa simili la fa la sandbox di sunbelt
Posta un commento