martedì 20 marzo 2012

Una attuale distribuzione malware che ricorda nell'esecuzione e nei contenuti quanto accadeva anni fa. Il file .PIF (20 marzo)

AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili malware spesso poco riconosciuti dai softwares AV.

Gli allegati in mail sono stati, ed in parte lo sono ancora, una delle maggiori fonti di diffusione del malware.
Se si scorre una ricerca che interessi la fine degli anni 90 e i primi del 2000 si trovano info interessanti al riguardo di vere e proprie 'campagne' di diffusione malware attraverso un notevole spam di messaggi mail che allegavano contenuti pericolosi sotto forma di eseguibili per lo piu' con files dotati di doppia estensione
Andando piu' 'indietro', risale a meta' degli anni 90, uno dei primi virus informatici creato modificando un file con estensione .PIF.
I file .PIF trovavano il loro utilizzo al momento della comparsa Windows quando il “nuovo” sistema operativo di allora avrebbe dovuto eseguire i 'vecchi' programmi DOS.
Nel file PIF venivano inserite istruzioni utili a Windows per eseguire una applicazione DOS in ambiente Windows.(uso della RAM, percorso al file eseguibile, tipo di finestra video ecc...).
Purtroppo per gli utenti Windows anche se il formato PIF non contiene alcun codice eseguibile Windows gestisce l'estensione PIF come un qualsiasi eseguibile .exe e questo ha creato parecchi problemi al riguardo della diffusione di virus, in quanto cliccando su un file .PIF lo stesso, se conteneva un codice eseguibile malware, andava in run con tutte le conseguenze del caso.

Tornando ad oggi ecco, analizzando i contenuti di una mailing list italiana online, questo messaggio con allegato.

Ridenominando il file obj salvato dalla mailing in uno con formato ZIP (file originariamente allegato, come risulta dalle info in mail) otteniamo questi contenuti che si dimostrano essere 'poco affidabili'

La prima cosa interessante e' l'uso che si e' fatto dell'inserimento di spazi tra il nome del file che si vuole che l'utente veda e cioe' .htm e la vera estensione che e' .PIF.

Come si nota dallo screenshot la tecnica, molto vista in passato,e' anche piu' efficiente di quella presente molto in questi mesi nei casi di spam malware, che consisteva nell'inserire caratteri underscore per nascondere la reale estensione .exe

Da considerare anche che il falso htm se estratto ad esempio sul desktop mostra

con occultamento completo della seconda estensione.

In effetti se si guarda l'icona presente ci si potrebbe accorgere dell'inganno visto che pur trattandosi di presunto file htm abbiamo una icona che non riproduce l'usuale di un file htm.

Fortunatamente per chi scaricasse questo fake htm una analisi dello stesso su VT mostra un buon riconoscimento da parte di tutti (o quasi) i software AV elencati sul report

Una analisi Anubis del file .PIF , quando eseguito, mostra pero', come ci si poteva aspettare,

con due indirizzi web

di cui comunque uno , al momento , non parrebbe essere attivo linkando ad eseguibile di lunghezza 0 Kb

Connettendosi al server remoto

abbiamo il download dei contenuti pericolosi.


Ecco infatti l'eseguibile analizzato

e , come accade spesso, il riconoscimento questa volta risulta abbastanza basso.

Solo pochi AV sembrano infatti rilevare i contenuti malware.

Questo un whois di uno dei servers al momento attvi da cui viene scaricato il file exe malware.


Edgar

Nessun commento: