martedì 25 dicembre 2007

Il ritorno natalizio di storm worm.

Anche se un po' in ritardo rispetto alle previsioni, come c'era da aspettarsi insieme al Natale e' arrivata anche la nuova ondata di mails che linkano a siti storm worm e la relativa pagina con contenuti natalizi pericolosi.

La mail riporta come oggetto
Subject: I love this Carol!
Subject: Santa Said, HO HO HO
Subject: Christmas Email

Subject: The Perfect Christmas
Subject: Find Some Christmas Tail

Subject: Time for a little Christmas Cheer

ed anche
“Merry Christmas To All”
“Warm Up this Christmas”

“Mrs. Clause Is Out Tonight!”

“The Twelve Girls Of Christmas”

“Jingle Bells, Jingle Bells”

“Cold Winter Nights”


e presenta nel testo un collegamento al sito merry christmas dude
Questo e' un tipico testo del messaggio:

I know you hate these kind of emails but this one is different. This will be the best 2 min you spend this holiday. hehe http:// merry christmas dude . com/

Aprendo la pagina in questione , come al solito, c'e la proposta al download di un programma stripshow.exe che questa volta ci dovrebbe far vedere l' Holiday Strip Show.

Chiaramente si tratta di un file malware che rendera' il nostro pc uno 'zombie' ai comandi di un computer remoto ed entrera' a far parte della rete botnet di storm worm.
Virus Total riporta infatti il contenuto pericoloso di stripshow.exe che viene visto da molti AV ma al momento ne restano fuori alcuni abbastanza noti tra cui NOD32, Panda, Prevx ...

Anche se in quasi tutti i siti che riportano il nuovo malware non se ne parla , la stessa pagina e' 'disponibile' sui domini per cosi dire tradizionali della rete storm worm, ad esempio su ptowl.com

Sia la pagina su merry christmas dude . com/ che quelle sui tradizionali domini storm presentano ip che cambia con modalita fast-flux come siamo ormai abituati a vedere da tempo su questo genere di rete botnet.
Per curiosita' ecco un nslookup del dominio ptowl dove si nota il TTL (tempo di vita dell'indirizzo IP a 0 secondi)
Una volta attivato il programma malware crea ed esegue sul pc il file eseguibile disnisa .exe che contiene nel suo file cfg l'elenco dei peer a cui collegarsi
Questo e' il report generato dal servizio Anubis dell'Universita' di Vienna che esegue il file in ambiente protetto e mostra i risultati di cio' che avviene in un dettagliato report:

Anche senza scaricare il file si puo' comunque finire vittima del sito storm worm attraverso la presenza sulla pagina merry christmas dude . com di un iframe con codice javascript offuscato (dovrebbe trattarsi del codice del Neosploit attack kit- attacco con exploit multipli ) mentre la tecnica usata per nascondere l'iframe pericoloso e' simile a quella usata nel precedente sito storm di Halloween.

Se ci colleghiamo una seconda volta al sito non verra' piu' riproposto un iframe con script pericoloso ma l'iframe conterra' un link a Google. Questo e' possibile in quanto viene memorizzato l'IP di chi vista le pagine storm worm.

Per chi volesse approfondire nei dettagli come opera il file eseguibile un interesante articolo e' disponibile qui.

Per chi volesse visualizzare i siti storm di cui sopra consiglio, come sempre, di prendere le massime precauzioni onde evitare di attivare sul proprio computer un malware molto pericoloso.
Inoltre, a parte il file eseguibile del download, il codice javascript offuscato presente nell'iframe sembrerebbe utilizzare il Neosploit attack kit che come dicono alcuni commenti su siti in rete " ....... NeoSploit, is a toolkit that launches an arsenal of prepackaged exploits specifically tailored for the user’s browser. ..." quindi pericoloso.

Per quanto si riferisce alla Botnet Storm Worm invece, sembra sempre ben attiva e come si vede gli sforzi per consolidarne la struttura ed espanderla continuano.

Edgar

Nessun commento: