domenica 18 gennaio 2009

Falsi siti su Obama. Aggiornamento Waledac Botnet

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi

Qualche dettaglio in piu' sulla comparsa online di nuovi indirizzi di pagine web che linkano a falsi siti sul nuovo presidente Usa Obama.

Si tratta, al momento di questi nuovi indirizzi

che linkano a falsa pagina relativa a news su Obama attraverso notizie fasulle create apposta per diffondere un file malware.

Oltre ai siti visti sopra anche diversi vecchi siti che distribuivano la falsa card di auguri ora puntano al falso sito di news.
La conferma dell'uso della tecnica FastFlux si puo' notare con un nslookup che mostra un TTL settato a 0 secondi

In dettaglio abbiamo l'invio di mails di spam con link alle pagine fasulle

Da notare che sembrerebbe che l'url accettata puo' variare nella sua struttura e viene considerata valida qualunque parola venga scritta prima del nome di dominio scelto tra quelli attivi al momento

come si vede ad esempio in questa videata dove e' presente un 'testo di prova' nell'indirizzo e che carica comunque la pagina:

Inoltre una ulteriore particolarita' e' il fatto che il nome del file eseguibile varia continuamente anche caricando piu' volte la medesima pagina



ed anche

Per quanto si riferisce al riconoscimento da parte dei piu' comuni softwares antivirus siamo sempre ad un numero abbastanza basso di AV che riconoscono la minaccia.

Ecco invece un report sulla distribuzione degli IP di macchine facenti parte della botnet ed ottenuto sempre attraverso lo script Autoit gia' usato in precedenza.


Anche in questo caso si notano analogie con la precedente distribuzione degli IP nel caso di Waledac botnet tenendo sempre conto che ci possono essere variazioni a seconda dell'orario in cui viene effettuato il report.

Da quanto visto sino ad ora sembra che Waledac botnet sia la momento il sostituto piu' importante della Storm Worm Botnet ormai non piu attiva e comunque sono in molti a pensare che in realta' questa nuova rete botnet non sia altro che una rinnovata versione della precedente Storm.

Vedremo se, come gia' successo, nei prossimi giorni si assistera' all'invio di nuove mails di spam con links sempre diversi sia come argomento trattato che come malware distribuito.

Edgar

Nessun commento: