[NEWS] Waledac sites e verifiche online SiteAdvisor. Alcune considerazioni

Edgar Bangkok · 21-03-2009, 15:36

sabato 21 marzo 2009

Ancora una volta McAfee SiteAdvisor cade sulla verifica della pericolosita' di una pagina web.

Nulla di nuovo, se non fosse che la pagina in questione, e' una di quelle proposte dalla Botnet Waledac, ormai abbastanza note per i contenuti pericolosi sotto forma di files eseguibili.

Ecco come appare una analisi SiteAdvisor di un dominio tra quelli noti appartenenti alla botnet Waledac

L'avviso si limita ad indicare che la pagina e' diffusa in rete attraverso l'invio di mails di spam, senza pero' evidenziare il pericolo nascosto nei downloads collegati al falso video di news Reuters.

Stranamente , al momento di scrivere il post, il software AV McAfee sembra evidenziare il pericolo, come si nota da una scansione VT, ma evidentemente le continue variazioni del codice malevolo, non hanno permesso a SiteAdvisor di rilevare il problema, al momento dell'analisi del sito.

C'e' comunque da notare che nella sua semplicita' il layout della pagina Waledac dell'ultimo 'tema' proposto e precisamente le news Reuters, anche se da un lato ne limita l'efficacia della distribuzione del malware (bisogna comunque eseguire il download e lanciare il file exe pericoloso) , dall'altro rende i contenuti (links) non facilmente individuabili da siti che propongono la scansione online di codici di pagine web per verificarne la sicurezza.

Due esempi di questo sono sia il sito Wepawet (Department of Computer Science dell'University of California, Santa Barbara ) che propone una analisi di eventuali codici pericolosi (java, flash, PDF ...) contenuti nel sito da analizzare.

In questo caso (pagina waledac) il risultato

e' l'assenza di problemi sulla pagina della botnet

Stesso discorso vale anche per il MELANI Website - Checktool (disponibile in italiano) che esegue una verifica su eventuali javascripts presenti nel codice della pagina analizzata

e che chiaramente anche in questo caso non rileva pericoli di sorta.

Cosa diversa per Anubis (International Secure Systems Lab Vienna University of Technology, Eurecom France, UC Santa Barbara ) che non si limita ad analizzare la pagina ma esegue anche eventuali files linkati

ottenendo un risultato che propone avvisi sul pericolo contenuto sul sito esaminato.

Anubis, in effetti, e' nato come sito di analisi di files eseguibili, e l'opzione verifica url e' stata aggiunta successivamente.

Edgar

fonte: http://edetools.blogspot.com/2009/03...he-online.html

sampei.nihira · 21-03-2009, 15:52

Interessante questo Anubis,anche se un pò lentino,lo stò testando con un sito infetto sicuramente.
C'è qualcuno che può provare il responso di WOT ?

In questo momento io non posso.......

BEY0ND · 21-03-2009, 16:05

http://www.mywot.com/it/scorecard/breakingnewsfm.com

sampei.nihira · 21-03-2009, 16:14

Quote:

Originariamente inviato da BEY0ND

http://www.mywot.com/it/scorecard/breakingnewsfm.com

Grazie Beyond

,meglio WOT (in questo caso) è più "rapido".
Anche se devo dire che in merito alla Waledac, WOT, solitamente è aggiornato.
Ho fatto prove simili in passato su altri link con responsi sempre OK.

riazzituoi · 21-03-2009, 16:22

.

sampei.nihira · 21-03-2009, 16:58

Quote:

Originariamente inviato da riazzituoi

Analizzando qualsiasi sito con Anubis ottieni praticamente sempre quel risultato "The executable modifies and destructs files which are not temporary". L'eseguibile infatti è iexplore.exe...

Vero,Riazzituoi, mi hai preceduto ho fatto la prova oltre che con il link infetto anche con Google stesso risultato.

Edgar Bangkok · 22-03-2009, 01:53

Aggiornato post sul blog in riferimento anche ad Anubis che alla fine ha un comportamento in linea con gli altri siti di analisi anche se in piu' genera dei falsi positivi.

http://edetools.blogspot.com/2009/03...he-online.html

Tra l'altro la pagina malware citata nell'esempio dell'aggiornamento del post

Codice:

ghrgt(dot)hostindianet(dot)com

non viene vista pericolosa da WOT ma solo da Wepawet.

Edgar

21-03-2009, 15:36	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Waledac sites e verifiche online SiteAdvisor. Alcune considerazioni sabato 21 marzo 2009 Ancora una volta McAfee SiteAdvisor cade sulla verifica della pericolosita' di una pagina web. Nulla di nuovo, se non fosse che la pagina in questione, e' una di quelle proposte dalla Botnet Waledac, ormai abbastanza note per i contenuti pericolosi sotto forma di files eseguibili. Ecco come appare una analisi SiteAdvisor di un dominio tra quelli noti appartenenti alla botnet Waledac L'avviso si limita ad indicare che la pagina e' diffusa in rete attraverso l'invio di mails di spam, senza pero' evidenziare il pericolo nascosto nei downloads collegati al falso video di news Reuters. Stranamente , al momento di scrivere il post, il software AV McAfee sembra evidenziare il pericolo, come si nota da una scansione VT, ma evidentemente le continue variazioni del codice malevolo, non hanno permesso a SiteAdvisor di rilevare il problema, al momento dell'analisi del sito. C'e' comunque da notare che nella sua semplicita' il layout della pagina Waledac dell'ultimo 'tema' proposto e precisamente le news Reuters, anche se da un lato ne limita l'efficacia della distribuzione del malware (bisogna comunque eseguire il download e lanciare il file exe pericoloso) , dall'altro rende i contenuti (links) non facilmente individuabili da siti che propongono la scansione online di codici di pagine web per verificarne la sicurezza. Due esempi di questo sono sia il sito Wepawet (Department of Computer Science dell'University of California, Santa Barbara ) che propone una analisi di eventuali codici pericolosi (java, flash, PDF ...) contenuti nel sito da analizzare. In questo caso (pagina waledac) il risultato e' l'assenza di problemi sulla pagina della botnet Stesso discorso vale anche per il MELANI Website - Checktool (disponibile in italiano) che esegue una verifica su eventuali javascripts presenti nel codice della pagina analizzata e che chiaramente anche in questo caso non rileva pericoli di sorta. Cosa diversa per Anubis (International Secure Systems Lab Vienna University of Technology, Eurecom France, UC Santa Barbara ) che non si limita ad analizzare la pagina ma esegue anche eventuali files linkati ottenendo un risultato che propone avvisi sul pericolo contenuto sul sito esaminato. Anubis, in effetti, e' nato come sito di analisi di files eseguibili, e l'opzione verifica url e' stata aggiunta successivamente. Edgar fonte: http://edetools.blogspot.com/2009/03...he-online.html __________________ http://edetools.blogspot.com/

21-03-2009, 16:22	#5
riazzituoi Bannato Iscritto dal: Aug 2007 Messaggi: 3847	. Ultima modifica di riazzituoi : 29-04-2010 alle 10:51.

22-03-2009, 01:53	#7
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornato post sul blog in riferimento anche ad Anubis che alla fine ha un comportamento in linea con gli altri siti di analisi anche se in piu' genera dei falsi positivi. http://edetools.blogspot.com/2009/03...he-online.html Tra l'altro la pagina malware citata nell'esempio dell'aggiornamento del post Codice: ghrgt(dot)hostindianet(dot)com non viene vista pericolosa da WOT ma solo da Wepawet. Edgar __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 22-03-2009 alle 01:59.

21-03-2009, 15:52	#2
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Interessante questo Anubis,anche se un pò lentino,lo stò testando con un sito infetto sicuramente. C'è qualcuno che può provare il responso di WOT ? In questo momento io non posso.......

21-03-2009, 16:05	#3
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	http://www.mywot.com/it/scorecard/breakingnewsfm.com

Strumenti
Mostra una versione stampabile Invia questa pagina per email