Cambia di nuovo la pagina che invita a scaricare storm worm ma adesso, questa e' la novita' delle ultime ore, link al pericoloso malware storm worm sono comparsi anche su Blogger ed in numero notevole.
Il nuovo layout della pagina storm worm ha aggiunto una piccola immagine al testo
questo e' il source
dove si vede che e' stato codificato il link al file malware( happynewyear2008.exe) in un codice javascript offuscato ma in maniera minima ( nessuna codifica particolare)
La novita' piu' grave e' che stanno comparendo links ad una pagina identica , anche se differente url, sui blogs di Blogger. (newyeracards2008.com)
L'oggetto del post che linka alla pagina storm worm e' vario
ed anche
ed i post sembrano tutti datati a partire dal 27 dicembre
Sembra che in parte si tratti di pagine blog create appositamente mentre altre sono pagine gia' presenti sulle quali in qualche maniera e' stato inserito il falso post
Il link punta ad una pagina con differente url ma stesso layout di quella tradizionale vista prima e che naturalmente e' hostata su botnet fast-flux.
La modalita' con la quale e' stato inserito il falso post che linka malware potrebbe ancora una volta aver sfruttato la particolare possibilita di blogger ( To post to your blog via email, you need to configure your Mail-to-Blogger email address in Settings | Email) che permette l'invio tramite e-mail dei messaggi da postare. (come era gia' successo gia' in precedenza su Blogger)
In ogni caso la pericolosita' di questo nuovo attacco e' ancora piu' elevata se si vede che attualmente solo pochi antivirus (28%) rilevano la minaccia
Il nuovo layout della pagina storm worm ha aggiunto una piccola immagine al testo
questo e' il source
dove si vede che e' stato codificato il link al file malware( happynewyear2008.exe) in un codice javascript offuscato ma in maniera minima ( nessuna codifica particolare)
La novita' piu' grave e' che stanno comparendo links ad una pagina identica , anche se differente url, sui blogs di Blogger. (newyeracards2008.com)
L'oggetto del post che linka alla pagina storm worm e' vario
ed anche
ed i post sembrano tutti datati a partire dal 27 dicembre
Sembra che in parte si tratti di pagine blog create appositamente mentre altre sono pagine gia' presenti sulle quali in qualche maniera e' stato inserito il falso post
Il link punta ad una pagina con differente url ma stesso layout di quella tradizionale vista prima e che naturalmente e' hostata su botnet fast-flux.
La modalita' con la quale e' stato inserito il falso post che linka malware potrebbe ancora una volta aver sfruttato la particolare possibilita di blogger ( To post to your blog via email, you need to configure your Mail-to-Blogger email address in Settings | Email) che permette l'invio tramite e-mail dei messaggi da postare. (come era gia' successo gia' in precedenza su Blogger)
In ogni caso la pericolosita' di questo nuovo attacco e' ancora piu' elevata se si vede che attualmente solo pochi antivirus (28%) rilevano la minaccia
File happynewyear2008.exe received on 12.28.2007 02:11:15 (CET) | |||
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2007.12.28.10 | 2007.12.27 | - |
AntiVir | 7.6.0.46 | 2007.12.27 | TR/Crypt.XDR.Gen |
Authentium | 4.93.8 | 2007.12.28 | - |
Avast | 4.7.1098.0 | 2007.12.27 | Win32:Zhelatin-ASX |
AVG | 7.5.0.516 | 2007.12.27 | - |
BitDefender | 7.2 | 2007.12.28 | - |
CAT-QuickHeal | 9.00 | 2007.12.27 | - |
ClamAV | 0.91.2 | 2007.12.27 | - |
DrWeb | 4.44.0.09170 | 2007.12.27 | - |
eSafe | 7.0.15.0 | 2007.12.27 | - |
eTrust-Vet | 31.3.5407 | 2007.12.27 | - |
Ewido | 4.0 | 2007.12.27 | - |
FileAdvisor | 1 | 2007.12.28 | - |
Fortinet | 3.14.0.0 | 2007.12.27 | - |
F-Prot | 4.4.2.54 | 2007.12.28 | - |
F-Secure | 6.70.13030.0 | 2007.12.27 | - |
Ikarus | T3.1.1.15 | 2007.12.28 | - |
Kaspersky | 7.0.0.125 | 2007.12.28 | - |
McAfee | 5194 | 2007.12.27 | W32/Nuwar@MM |
Microsoft | 1.3109 | 2007.12.28 | Backdoor:Win32/Nuwar.gen!A |
NOD32v2 | 2751 | 2007.12.27 | - |
Norman | 5.80.02 | 2007.12.27 | - |
Panda | 9.0.0.4 | 2007.12.27 | Suspicious file |
Prevx1 | V2 | 2007.12.28 | Stormy:Worm-All Variants |
Rising | 20.24.32.00 | 2007.12.27 | - |
Sophos | 4.24.0 | 2007.12.27 | Mal/Dorf-H |
Sunbelt | 2.2.907.0 | 2007.12.27 | - |
Symantec | 10 | 2007.12.28 | Trojan.Peacomm |
TheHacker | 6.2.9.172 | 2007.12.27 | - |
VBA32 | 3.12.2.5 | 2007.12.26 | - |
VirusBuster | 4.3.26:9 | 2007.12.27 | - |
Webwasher-Gateway | 6.6.2 | 2007.12.27 | Trojan.Crypt.XDR.Gen |
Additional information | |||
File size: 141313 bytes | |||
MD5: b23eea0280e4de6f371410739b5c9a6d | |||
SHA1: 2eaf60bfd558e1ba849a7a77a0ec10a87219bb64 | |||
PEiD: - | |||
Persino Kaspersky che di solito e' uno dei softwares che in passato risultava sempre avvisare del pericolo su questo nuovo eseguibile storm non da nessuna positivita'.
Vedremo nelle prossime ore se ci sara' un ulteriore aumento di questi messaggi pericolosi sui blog di Blogger e comunque al momento una ricerca con Google trova centinaia di pagine compromesse dai pericolosi links.
Per chi usa blogger sara' opportuno verificare di non aver attivato l'opzione di trasferimento post da mail e comunque controllare che non siano stati inseriti falsi post e links sul proprio blog.
Come avevo scritto precedentemente abbiamo la conferma che si cerca, ancora una volta, di sfruttare servizi gratuiti internet che coinvolgono un numero enorme di utenti (vedi i recenti casi Orkut Google e Myspace ) per diffondere malware o impossessarsi di dati personali per fini illeciti.
Edgar
Nessun commento:
Posta un commento