Si tratta di questo file
che, come si vede
e' ospitato su account creato abbastanza di recente ed in seguito aggiornato probabilmente con la nuova versione del file malevolo.
Una analisi VT mostra un buon riconoscimento del contenuto pericoloso
Una analisi VT mostra un buon riconoscimento del contenuto pericoloso
con
La cosa interessante e' che, almeno per questa volta, analizzare in dettaglio il malware e' estremamente semplice.
Senza scomodare software dedicato all'analisi di eseguibili, disassemblatori ecc.... basta infatti semplicemente ri-denominare il file come .rar
Senza scomodare software dedicato all'analisi di eseguibili, disassemblatori ecc.... basta infatti semplicemente ri-denominare il file come .rar
per ottenere
In realta' siamo di fronte ad un genere di malware ben datato ma che , evidentemente, riesce sempre e comunque ad essere ancora attuale.
Il file Rar mostra infatti come sia presente al suo interno una versione 'custom' del noto IRC MIRC da usare come backdoor e la sua esecuzione e' legata proprio al file eseguibile RAR di cui notiamo la parte relativa allo script di avvio.
Il file Rar mostra infatti come sia presente al suo interno una versione 'custom' del noto IRC MIRC da usare come backdoor e la sua esecuzione e' legata proprio al file eseguibile RAR di cui notiamo la parte relativa allo script di avvio.
Ritornando al contenuto RAR possiamo notare alcuni files con data aggiornata (simile a quella notata sul report Altervista) ed in particolare i files sono quelli relativi ai nomi dei servers IRC ed agli user names
Come era evidente una analisi del file spoolsv.exe presenta
con
Da notare anche che estraendo il contenuto del file .rar si ha una quasi totale assenza di files visualizzati nel folder sul PC
semplicemente per il fatto che la maggior parte dei codici presenta attributo di 'file di sistema' attivato e quindi nascosti se (di solito) l'opzione di occultamento dei files di sistema e' attiva in Windows.
mentre
In questo modo chi ricercasse tra i folders del PC colpito non vedrebbe una buona parte dei contenuti malevoli
Il file RAR comprende naturalmente anche un .jpg
Il file RAR comprende naturalmente anche un .jpg
che rappresenta l'immagine da utilizzare per tentare di convincere, chi eseguisse il malware, di essere in presenza di una cartolina elettronica.
A conferma dell'analisi malware ecco alcuni dettagli ottenuti analizzando l'eseguibile postcard.exe attraverso il servizio online di Threat Expert
Una tipologia di malware, quindi, dai contenuti ben noti da tempo ma che parrebbe essere sempre attuale nonostante l'odierna diffusione in rete di files dai contenuti malevoli ben piu' sofisticati.
Edgar
Nessun commento:
Posta un commento