c.m.g
31-01-2008, 10:01
mercoledì 30 gennaio 2008
Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.
Il nome del dominio gia' ci fa capire a chi sia destinato il malware.
hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx
Variando i numeri dopo ?id= cambia la codifica del file.
Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)
La scansione su virustotal da i seguenti risultati:
http://bp0.blogger.com/_CDS_SXPrm3A/R6DMnVNh6NI/AAAAAAAAATQ/5xVdaNpRZ3U/s200/wpoly.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R6DMnVNh6NI/AAAAAAAAATQ/5xVdaNpRZ3U/s1600-h/wpoly.jpg)
Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.
Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.
Ci sono degli aggiornamenti, seguire la discussione seguente.
Fonte: maipiugromozon blog - by maverick (alias mausap) (http://maipiugromozon.blogspot.com/2008/01/un-virus-polimorfico-con-dialer-per.html)
Qualche giorno fa a proposito della chiusura dell'infame sito Callsolutions ho ricevuto una interessantissima segnalazione da Gmg (un utente molto preparato di hwupgrade)
a proposito di un sito spara virus estremente pericoloso.
Da quello che ho potuto osservare dovrebbe trattarsi di un virus polimorfico che tenta di installare un dialer.
Il nome del dominio gia' ci fa capire a chi sia destinato il malware.
hxxp://italiancollection.in/[edit...]/info/exe.php?id=xx
Variando i numeri dopo ?id= cambia la codifica del file.
Non sono riuscito a fare analisi con la sanbox di sunbelt e quindi non so se possa essere attribuito alla famiglia dialcall (callsolutions)
La scansione su virustotal da i seguenti risultati:
http://bp0.blogger.com/_CDS_SXPrm3A/R6DMnVNh6NI/AAAAAAAAATQ/5xVdaNpRZ3U/s200/wpoly.jpg (http://bp0.blogger.com/_CDS_SXPrm3A/R6DMnVNh6NI/AAAAAAAAATQ/5xVdaNpRZ3U/s1600-h/wpoly.jpg)
Quello che ho potuto notare è la difficolta' di kaspersky 7 nel riconoscere tale virus polimorfico.
Non so se il modulo PDM sia in grado di intercettare la minaccia.
Alcuni sample che ho inviato sono stati successivamente individuati dall'antivirus russo come Trojan.Win32.Dialer.XYZ
ma l'efficacia del prodotto è scarsa.
Ci sono degli aggiornamenti, seguire la discussione seguente.
Fonte: maipiugromozon blog - by maverick (alias mausap) (http://maipiugromozon.blogspot.com/2008/01/un-virus-polimorfico-con-dialer-per.html)