lunedì 21 gennaio 2008

Aggiornamento storm worm 21 gennaio

Pare che invece di avere un aumento del numero di software antivirus che rilevano la minaccia sui files hostati dalla rete fast flux storm worm ci troviamo di fronte a report di Virus Total praticamente vuoti....

Sembra che l'ultima versione del malware sia al momento, difficilmente rilevabile tranne che per Kaspersky che vede il codice come il noto Zhelatin worm e viene vista come file sospetto da parte di altri due antivirus.
Indipendentemente dalla affidabilita' di una verifica della risposta a codici malevoli da parte dei software eseguiti in ambiente Virus Total i risultati lasciano abbastanza perplessi.

C'e' inoltre da dire che sottoposti sia a Sunbelt Sandbox che Anubis i files danno risultati contrastanti e solo in un caso viene rilevato il noto file gia' visto in precedenza e cioe' burito.sys ed il file burito.ini.

Aggiornamento 21 gennaio ore 16
Siamo sempre a livelli praticamente inesistenti come rilevazione del malware contenuto nel file scaricato dalla pagina storm worm.
Il file whitlove.exe e' riconosciuto, come si vede nel report , sempre da pochi antivirus. (Panda questa volta rileva il malware) Kaspersky e' ritornato a non rilevare la minaccia.

La sandbox di Sunbelt rileva la presenza del solito file burito.sys creato al momento della esecuzione del file sul pc infetto mentre la sanbox di Anubis sembra non rilevare la presenza di un alcun threats (probabilmente quando in esecuzione il malware riconosce l'ambiente sandbox e si comporta di conseguenza).

Edgar

Nessun commento: