Si tratta di due nuovi siti postati sul forum di Castlecops da Sparsha e che sono presenti sul range IP di Intercage Canada (noti domini distributori di software spyware, malware ecc...)
Abbiamo WinSpykiller.com
ed Immunizr.com
che esaminiamo in dettaglio vista la particolarita' che questa volta presenta il sistema di installazione rispetto a siti simili precedentemente visti nei post passati.
Normalmente se si cliccava sul bottone di download veniva scaricato un file di dimensioni variabili, di solito tra 1 e 4 mega, che esaminato con un antivirus il piu' delle volte mostrava il contenuto spyware.
Questa volta invece, se si clicca sul download, viene scaricato un file di dimensioni ridotte
che ad ogni nuovo download presenta un hash md5 sempre diverso come si vede qui sotto
probabilmente per evitare di essere rintracciato piu facilmente come programma di installazione di falso antimalware e che esaminato con Virus Total risulta per tutti gli antivirus essere assolutamente OK.
Esaminando invece il contenuto del file vediamo che al suo interno e' presente un link all IP 69.50.164.28 da dove viene scaricato il programma Rogue.
Si tratta cioe' di un semplice installer che scarica e poi installa il programma rogue dall'IP 69.50.164.28. (sempre IP Intercage)
Qui vediamo il run dell'installer
Una volta scaricato ed installato il software antospyware viene visto, per la verita' da pochi antivirus, come:
Si tratta comunque di una variante di spyware gia conosciuti quali Adware_BraveSentry, not-a-virus:FraudTool.Win32.BraveSentry.b, SpySheriff
Probabilmente il fatto di caricare preventivamente un installer garantisce un migliore occultamento dello spyware ed inoltre da' forse un tocco di maggiore credibilita' al software che si sta scaricando.
Edgar
Abbiamo WinSpykiller.com
ed Immunizr.com
che esaminiamo in dettaglio vista la particolarita' che questa volta presenta il sistema di installazione rispetto a siti simili precedentemente visti nei post passati.Normalmente se si cliccava sul bottone di download veniva scaricato un file di dimensioni variabili, di solito tra 1 e 4 mega, che esaminato con un antivirus il piu' delle volte mostrava il contenuto spyware.
Questa volta invece, se si clicca sul download, viene scaricato un file di dimensioni ridotte
che ad ogni nuovo download presenta un hash md5 sempre diverso come si vede qui sotto
probabilmente per evitare di essere rintracciato piu facilmente come programma di installazione di falso antimalware e che esaminato con Virus Total risulta per tutti gli antivirus essere assolutamente OK.Esaminando invece il contenuto del file vediamo che al suo interno e' presente un link all IP 69.50.164.28 da dove viene scaricato il programma Rogue.
Si tratta cioe' di un semplice installer che scarica e poi installa il programma rogue dall'IP 69.50.164.28. (sempre IP Intercage)
Qui vediamo il run dell'installer
Una volta scaricato ed installato il software antospyware viene visto, per la verita' da pochi antivirus, come:
Si tratta comunque di una variante di spyware gia conosciuti quali Adware_BraveSentry, not-a-virus:FraudTool.Win32.BraveSentry.b, SpySheriff
Probabilmente il fatto di caricare preventivamente un installer garantisce un migliore occultamento dello spyware ed inoltre da' forse un tocco di maggiore credibilita' al software che si sta scaricando.
Edgar
Nessun commento:
Posta un commento