martedì 25 dicembre 2007

Aggiornamento storm worm.

Sono solo passate poche ore dalla comparsa della pagina di storm worm a tema natalizio che la stessa e' gia sparita sia dal dominio merry christmas dude . com che dai soliti domini di storm worm (ptowl.com ecc...)
Al posto della pagina vista nel precedente post ora abbiamo uno scarno messaggio che invita ad avviare un generico download.


Potrebbe essere che il sito linkato precedentemente abbia problemi e che si sia ricorsi a questa soluzione o forse come gia successo la pagina Mrs.Clause non abbia funzionato come previsto e si sia pensato di sostituirla con un altro tipo di download.
D'altronde se si arriva alla pagina tramite una mail di spam conta relativamente poco che ci sia solo un link oppure una pagina web completa, dato che l'insidia consiste sempre nello scaricare un file pericoloso.
L'unica differenza e' che ora non e' piu presente l'iframe con il codice javascript offusato.

Il file scaricato se si clicca sul link e' ora happy2008.exe


che VT rileva come malware storm ma solo un numero ridotto di softwares av evidenzia la minaccia.

Inoltre sulla pagina merry christmas dude . com come anche sui domini storm tradizionali e' hostato , ma succedeva gia' in passato, il file sony.exe (non esiste un link ma se si prova a scaricarlo il download funziona) e questo file sembra addirittura essere meno riconosciuto dagli av rispetto a happy2008.exe

Il malware sony.exe e' sempre una variante di storm worm.
Se si passano al sito Anubis i due files scaricati vediamo che entrambi installano il file disnisa.exe sul pc colpito e questo conferma sostanzialmente che ci troviamo di fronte ad una variante dello stesso malware contenuto nel precedente stripshow.exe.

Stesso tpo di pagina e' disponibile anche sul dominio uhavepostcard.com.

Aggiornamento 26/12
Il nome del file scaricabile e' passato da happy2008.exe a happy-2008.exe.
Con Virus Total il 40% degli antivirus trova il malware mentre tra i software piu' noti che non danno ancora avviso di contenuto pericoloso abbiamo McAfee, Sophos, FSecure ;
NOD32 invece sembra che ora si accorga del pericolo.

Edgar

2 commenti:

PV ha detto...
Questo commento è stato eliminato dall'autore.
PV ha detto...

Grande Edgar Sei sempre il Migliore !
Non capisco perche non ti abbiano ancora contattato pe un incarico in una grande azienda !