venerdì 11 aprile 2008

Storm Worm in piena attivita'

Come era previsto, adesso i domini Storm attivi, elencati nel precedente post, hanno modificato il loro comportamento e si e' passati dalla semplice pagina vista ieri a un sistema ben piu' sofisticato per distribuire malware.

Ora a seconda del browser usato abbiamo una diversa risposta da parte dei siti StormWorm.

Solo con Firefox, e sembrerebbe anche Safari e Opera, al momento, viene proposta la solita pagina che visualizza il falso codec Storm Worm e che invita a scaricare il file malware camuffato da codec video.
Usando Explorer , o simulandone l'uso impostando una stringa di user-agent adeguata, abbiamo invece una situazione piu' complessa con un link ad una pagina ricca di contenuti pericolosi.
Questa una visualizzazione della pagina con Noscript attivo su Firefox e con user-agent che simula Explorer


Come si vede abbiamo sia il tentativo di caricare un file dal nome load.exe sia in maniera diretta sfruttando un exploit ma anche utilizzando il successivo caricamento di codice php con codice offuscato su due livelli

Questo il source della pagina php che decodificato una prima volta


mostra nuovamente una parte di codice html che visualizzera' la pagina del falso codec Storm come gia' vista per la versione Firefox piu' una parte ancora offuscata che a sua volta deoffuscata mostra nuovamente un link a load.exe con relativo exploit che ne tenta il caricamento


Abbiamo quindi diversi tentativi di caricare il malware attraverso diversi files tutti comunque , al momento, pochissimo riconosciuti dai vari antivirus.


Come curiosita' e' interessante notare che uno dei domini fastflux che hostano il malware, e' anche indicizzato da un noto motore di ricerca e compare tra i primi posti nei risultati.


I link a queste pagine con malware sono sempre effettuati tramite mails di spam che sembrerebbero coinvolgere anche lo stesso Blogger.com ed ora anche spam con argomenti di attualita' quali ad esempio i fatti di cronanca accaduti in Nepal "Police fire on protesters in Nepal”.

Aggiornamento

A conferma di quanto rilevato, il sito sudosecure.net pubblica un articolo riguardo alla natura dei due exploit presenti sui siti StormWorm e precisamente:

".......... Now when you visit the Storm Worm Web pages you will be hit with 2 different exploit attempts. The first one is hosted in the index file and it looks like this: Storm Exploit Entry Page. Now this is clearly an exploit attempt against the MS06-14 vulnerability published April of 2006. If the exploit works you will receive the "load.exe" file renamed as "win.exe" and it will be executed.

The second exploit is hosted in the flow.php file and it looks like this: Flow_php File. This is clearly another attempt to exploit an old vulnerability in Internet Explorer: MS05-052. ......." che, anche in questo caso, tenta di caricare 'load.exe"


Edgar

Nessun commento: