venerdì 28 dicembre 2007

Ora storm worm attacca Blogger - New Year’s Storm Links now in Blogger

Cambia di nuovo la pagina che invita a scaricare storm worm ma adesso, questa e' la novita' delle ultime ore, link al pericoloso malware storm worm sono comparsi anche su Blogger ed in numero notevole.
Il nuovo layout della pagina storm worm ha aggiunto una piccola immagine al testo



questo e' il source


dove si vede che e' stato codificato il link al file malware( happynewyear2008.exe) in un codice javascript offuscato ma in maniera minima ( nessuna codifica particolare)


La novita' piu' grave e' che stanno comparendo links ad una pagina identica , anche se differente url, sui blogs di Blogger. (newyeracards2008.com)

L'oggetto del post che linka alla pagina storm worm e' vario

ed anche


ed i post sembrano tutti datati a partire dal 27 dicembre


Sembra che in parte si tratti di pagine blog create appositamente mentre altre sono pagine gia' presenti sulle quali in qualche maniera e' stato inserito il falso post

Il link punta ad una pagina con differente url ma stesso layout di quella tradizionale vista prima e che naturalmente e' hostata su botnet fast-flux.
La modalita' con la quale e' stato inserito il falso post che linka malware potrebbe ancora una volta aver sfruttato la particolare possibilita di blogger ( To post to your blog via email, you need to configure your Mail-to-Blogger email address in Settings | Email) che permette l'invio tramite e-mail dei messaggi da postare. (come era gia' successo gia' in precedenza su Blogger)

In ogni caso la pericolosita' di questo nuovo attacco e' ancora piu' elevata se si vede che attualmente solo pochi antivirus (28%) rilevano la minaccia

File happynewyear2008.exe received on 12.28.2007 02:11:15 (CET)
AntivirusVersionLast UpdateResult
AhnLab-V32007.12.28.102007.12.27-
AntiVir7.6.0.462007.12.27TR/Crypt.XDR.Gen
Authentium4.93.82007.12.28-
Avast4.7.1098.02007.12.27Win32:Zhelatin-ASX
AVG7.5.0.5162007.12.27-
BitDefender7.22007.12.28-
CAT-QuickHeal9.002007.12.27-
ClamAV0.91.22007.12.27-
DrWeb4.44.0.091702007.12.27-
eSafe7.0.15.02007.12.27-
eTrust-Vet31.3.54072007.12.27-
Ewido4.02007.12.27-
FileAdvisor12007.12.28-
Fortinet3.14.0.02007.12.27-
F-Prot4.4.2.542007.12.28-
F-Secure6.70.13030.02007.12.27-
IkarusT3.1.1.152007.12.28-
Kaspersky7.0.0.1252007.12.28-
McAfee51942007.12.27W32/Nuwar@MM
Microsoft1.31092007.12.28Backdoor:Win32/Nuwar.gen!A
NOD32v227512007.12.27-
Norman5.80.022007.12.27-
Panda9.0.0.42007.12.27Suspicious file
Prevx1V22007.12.28Stormy:Worm-All Variants
Rising20.24.32.002007.12.27-
Sophos4.24.02007.12.27Mal/Dorf-H
Sunbelt2.2.907.02007.12.27-
Symantec102007.12.28Trojan.Peacomm
TheHacker6.2.9.1722007.12.27-
VBA323.12.2.52007.12.26-
VirusBuster4.3.26:92007.12.27-
Webwasher-Gateway6.6.22007.12.27Trojan.Crypt.XDR.Gen

Additional information
File size: 141313 bytes
MD5: b23eea0280e4de6f371410739b5c9a6d
SHA1: 2eaf60bfd558e1ba849a7a77a0ec10a87219bb64
PEiD: -


Persino Kaspersky che di solito e' uno dei softwares che in passato risultava sempre avvisare del pericolo su questo nuovo eseguibile storm non da nessuna positivita'.

Vedremo nelle prossime ore se ci sara' un ulteriore aumento di questi messaggi pericolosi sui blog di Blogger e comunque al momento una ricerca con Google trova centinaia di pagine compromesse dai pericolosi links.

Per chi usa blogger sara' opportuno verificare di non aver attivato l'opzione di trasferimento post da mail e comunque controllare che non siano stati inseriti falsi post e links sul proprio blog.

Come avevo scritto precedentemente abbiamo la conferma che si cerca, ancora una volta, di sfruttare servizi gratuiti internet che coinvolgono un numero enorme di utenti (vedi i recenti casi Orkut Google e Myspace ) per diffondere malware o impossessarsi di dati personali per fini illeciti.

Edgar

Nessun commento: