mercoledì 8 ottobre 2008

Aggiornamenti malware (8 ottobre 2008)

Ecco alcuni aggiornamenti al riguardo della continua distribuzione di malware da parte di siti gia' analizzati in precedenti post o di nuovi forum che distribuiscono links a pagine con codice pericoloso.

Il primo update riguarda il sito di cui ho scritto in questo post (ed in alcuni seguenti) che ha sempre distribuito codice aggiornato e poco o per niente riconosciuto dai piu' usati softwares Av:

Dopo alcuni giorni in cui risultava offline, la pagina in questione ha ripreso a distribuire il falso setup di codec video MSCodecLite.7.exe che come in precedenza, e quasi del tutto sconosciuto ai softwares presenti in Virus Total

ed in VirusOrg

Vediamo come ora il solo Microsoft rilevi la minaccia.
Il codice malware sembra comunque simile alle precedenti versioni anche dando una occhiata alle connessioni di rete attivate al momento dell'esecuzione di MSCodecLite.7.exe

Ricordo che la pagina sembrerebbe essere a supporto di un sito di falsi filmati video e continua ad essere hostata su serve USA

Il secondo aggiornamento riguarda quello relativo al post che illustrava una nuova distribuzione malware attraverso links a una serie di pagine costruite appositamente per proporre lo scaricamento di un setup per falso activex necessario a visione i filmati presenti.

Anche in questo caso le pagine sono sempre attive ed il file eseguibile e' , anche se in misura minore al caso precedente, sempre pochissimo riconosciuto

Il raffronto tra i risultati ottenuti con VT

e con scansione VirusOrg

restituisce, almeno in parte, risultati discordanti

Al riguardo invece di forum su dominio .IT, utilizzati per distribuire post contenenti links a malware e' interessante questo , individuato ultimamente,

che propone nuovi post ad un ritmo continuo (pochi minuti di intervallo di tempo nel ricevimento di nuovi messaggi ) e che in poco tempo ha raggiunto questi numeri


Edgar

Nessun commento: