giovedì 9 settembre 2010

Un repository di malware. I rischi dei servizi di storage and files sharing (9 settembre)

Segnalo, piu' che altro come curiosita', la presenza in rete, su un noto servizio di storage and files sharing, numerosi e particolari contenuti pericolosi che vediamo in dettaglio nei due screenshots

e


Si tratta di 225 files in formato .zip , tutti di uguale dimensione (soli 113KB) , ed anche tutti con il medesimo codice md5, cosa che fa subito pensare che si tratti di un repository di false applicazioni.

Dai nomi proposti si dovrebbe trattare di software di utilita' per analizzare pagine web, port scanners ma anche keygen ecc........ ma come visto, gia' dalla dimensione unica e ridotta equivalente a 113 KB si capisce come il contenuto proposto dai nomi dei files non sia molto credibile.

Una analisi VT rileva infatti che i files sono visti da buona parte dei softwares AV, come trojan.


La data dei files, anche questa identica per tutti gli zip risale a luglio di quest'anno e per alcuni files, sembra ci sia stato un certo numero di download.

Risulta comunque abbastanza oscuro lo scopo di questo repository visto che molti dei nomi di file utilizzati propongono applicazioni piu' da 'addetti ai lavori” che da semplici utenti internet e che quindi non credo sarebbe poi facilissimo che una persona esperta cada nel tranello di eseguire un file del genere.

Anche il fatto che quasi tutti gli antivirus vedano adesso la minaccia conferma che attualmente chi usa un software AV aggiornato non ha problemi con questi files fatti passare come utilities , keygen ecc......

Diverso il discorso se ritorniamo a luglio 2010:

In questo caso solo 13 dei 42 antivirus presenti in Virus Total identificavano i files scaricati come pericolosi:


Tra l'altro questo fatto, spiegherebbe come il check antivirus proposto dal sito di storage and files sharing veda i vari zip come esenti da pericoli (scritta in verde NO VIRUS DETECTED) sulla pagina di download.(evidentemente l'AV utilizzato al momento dell'upload dei files non identificava malware nei contenuti degli zip)

Inoltre c'e' da tenere in considerazione che chi ha effettuato una ricerca sul sito di file sharing non ha visto la pagina con la lista completa dei 200 e piu' files zip uguali (cosa che poteva insospettirlo) ma solo un singolo file zip di 113 KB proposto da scaricare (per di piu' segnalato come 'pulito' dal sito di sharing) e questo sicuramente avra' reso, in passato, piu' facile essere colpiti dal malware contenuto nelle false applicazioni proposte.

Edgar

2 commenti:

Aniello ha detto...

Ho provveduto a segnalare all abuse di 4shared account che conteneva gli oltre 225 file infetti,risultato account eliminato.

Edgar Bangkok ha detto...

Ben fatto !

Saluti

Edgar