c.m.g
14-02-2008, 10:26
13 febbraio 2008 alle 21.18
http://www.tweakness.net/imgarchive/Storm_Worm_Valentino_2008.jpg
Dopo alcuni "test run (http://www.prevx.com/blog/79/Storm-Worm-With-Love.html)" a Gennaio ed inizio Febbraio, il worm Storm (altrimenti conosciuto come Nuwar o Dorf) sta in queste ore sferrando un attacco su vasta scala (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html), sfruttando una campagna di spam che utilizza il tema della festività di San Valentino. I messaggi di spam sono studiati per ingannare le vittime inducendole a visitare siti web maliziosi che includono il link all'eseguibile nocivo (chiamato valentine.exe, sony.exe, shift.exe, etc.). Il codice malware se eseguito si installa automaticamente e in maniera silente sul sistema del malcapitato utente.
Questa nuova ondata di attacchi di San Valentino viene scarsamente rilevata da parte dei prodotti antivirus, anche perché il codice nocivo sfrutta un nuovo packer polimorfico per evitare il rilevamento da parte delle aziende di sicurezza.
L'azienda antivirus PrevX ha monitorato (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html) durante le ultime 40 ore ben 253 differenti varianti della nuova release Storm, e questo si traduce nel rilascio in the wild di almeno una nuova variante ogni 9/10 minuti. A parte questo la nuova release del worm non sembra includere (almeno dal punto di vista tecnico) alcuna novità di rilievo rispetto alla versione che era stata diffusa in rete durante le festività natalizie.
Come riporta PrevX (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html), per il momento il rootkit dropper presenta il nome di burito[postfix].sys e il file di configurazione è chiamato burito.ini. Entrambi i file vengono rilasciati nella cartella di sistema di Windows. L'azienda evidenzia tuttavia che una frequente modifica del prefisso del rootkit è più che probabile, nel momento in cui la maggior parte delle aziende antivirus avranno rilevato la minaccia.
Inoltre durante questo attacco, i cybercriminali stanno sfruttando prevalentemente indirizzi IP per diffondere il malware e non nomi dominio come visto precedentemente. Questa caratteristica da un lato potrebbe scoraggiare l'eventuale vittima dal cliccare sul link nocivo, dall'altro rende più difficile bloccare la diffusione della minaccia.
PrevX riporta una lista di oggetti e testo utilizzati nella campagna spam a supporto dei più recenti attachi: A Dream is a Wish, A Is For Attitude, A Kiss So Gentle, A Rose, A Rose for My Love, A Toast My Love, A Token of My Love, Come Dance with Me, Come Relax with Me, Destiny, Dream of You, Eternal Love, Eternity of Your Love, Falling In Love with You, For You....My Love, Happy I'll Be Your Bride, Heavenly Love, Hugging My Pillow, I am Complete, I Love Thee, I Would Dream, If Loving You, In Your Arms, Inside My Heart, Kisses Through E-mail, Love Is..., Magic Power Of Love, Memories of You, Miracle of Love, My Love, Our Love is Free, Our Love is Strong, Our Love Nest, Our Love Will Last, Pages from My Heart, Path We Share, Sending You All My Love, Sent with Love, Surrounded by Love, The Dance of Love, The Mood for Love, The Moon & Stars, The Time for Love, When Love Comes Knocking, Words in my Heart, Wrapped in Your Arms, You... In My Dreams, You're in my Soul, You're In My Thoughts, You're my Dream, You're the One, Your Love Has Opened.
Altri commenti sull'attacco da parte di aziende di sicurezza: McAfee Avert Labs (http://www.avertlabs.com/research/blog/index.php/2008/02/12/valentine-nuwar/), F-Secure (http://www.f-secure.com/weblog/archives/00001377.html), Trend Micro (http://blog.trendmicro.com/storm-sure-loves-everybody/), ISC SANS (http://isc.sans.org/diary.html?storyid=3979), Arbor Sert (http://asert.arbornetworks.com/2008/02/new-storm-valentines-day-campaign), Sophos (http://www.sophos.com/security/blog/2008/02/1067.html).
LINK per approfondimenti:
Report @ PrevX (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html)
@ McAfee Avert Labs (http://www.avertlabs.com/research/blog/index.php/2008/02/12/valentine-nuwar/)
@ Sophos (http://www.sophos.com/security/blog/2008/02/1067.html?_log_from=rss)
Fonti: varie via Tweakness (http://www.tweakness.net/index.php?topic=4356)
http://www.tweakness.net/imgarchive/Storm_Worm_Valentino_2008.jpg
Dopo alcuni "test run (http://www.prevx.com/blog/79/Storm-Worm-With-Love.html)" a Gennaio ed inizio Febbraio, il worm Storm (altrimenti conosciuto come Nuwar o Dorf) sta in queste ore sferrando un attacco su vasta scala (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html), sfruttando una campagna di spam che utilizza il tema della festività di San Valentino. I messaggi di spam sono studiati per ingannare le vittime inducendole a visitare siti web maliziosi che includono il link all'eseguibile nocivo (chiamato valentine.exe, sony.exe, shift.exe, etc.). Il codice malware se eseguito si installa automaticamente e in maniera silente sul sistema del malcapitato utente.
Questa nuova ondata di attacchi di San Valentino viene scarsamente rilevata da parte dei prodotti antivirus, anche perché il codice nocivo sfrutta un nuovo packer polimorfico per evitare il rilevamento da parte delle aziende di sicurezza.
L'azienda antivirus PrevX ha monitorato (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html) durante le ultime 40 ore ben 253 differenti varianti della nuova release Storm, e questo si traduce nel rilascio in the wild di almeno una nuova variante ogni 9/10 minuti. A parte questo la nuova release del worm non sembra includere (almeno dal punto di vista tecnico) alcuna novità di rilievo rispetto alla versione che era stata diffusa in rete durante le festività natalizie.
Come riporta PrevX (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html), per il momento il rootkit dropper presenta il nome di burito[postfix].sys e il file di configurazione è chiamato burito.ini. Entrambi i file vengono rilasciati nella cartella di sistema di Windows. L'azienda evidenzia tuttavia che una frequente modifica del prefisso del rootkit è più che probabile, nel momento in cui la maggior parte delle aziende antivirus avranno rilevato la minaccia.
Inoltre durante questo attacco, i cybercriminali stanno sfruttando prevalentemente indirizzi IP per diffondere il malware e non nomi dominio come visto precedentemente. Questa caratteristica da un lato potrebbe scoraggiare l'eventuale vittima dal cliccare sul link nocivo, dall'altro rende più difficile bloccare la diffusione della minaccia.
PrevX riporta una lista di oggetti e testo utilizzati nella campagna spam a supporto dei più recenti attachi: A Dream is a Wish, A Is For Attitude, A Kiss So Gentle, A Rose, A Rose for My Love, A Toast My Love, A Token of My Love, Come Dance with Me, Come Relax with Me, Destiny, Dream of You, Eternal Love, Eternity of Your Love, Falling In Love with You, For You....My Love, Happy I'll Be Your Bride, Heavenly Love, Hugging My Pillow, I am Complete, I Love Thee, I Would Dream, If Loving You, In Your Arms, Inside My Heart, Kisses Through E-mail, Love Is..., Magic Power Of Love, Memories of You, Miracle of Love, My Love, Our Love is Free, Our Love is Strong, Our Love Nest, Our Love Will Last, Pages from My Heart, Path We Share, Sending You All My Love, Sent with Love, Surrounded by Love, The Dance of Love, The Mood for Love, The Moon & Stars, The Time for Love, When Love Comes Knocking, Words in my Heart, Wrapped in Your Arms, You... In My Dreams, You're in my Soul, You're In My Thoughts, You're my Dream, You're the One, Your Love Has Opened.
Altri commenti sull'attacco da parte di aziende di sicurezza: McAfee Avert Labs (http://www.avertlabs.com/research/blog/index.php/2008/02/12/valentine-nuwar/), F-Secure (http://www.f-secure.com/weblog/archives/00001377.html), Trend Micro (http://blog.trendmicro.com/storm-sure-loves-everybody/), ISC SANS (http://isc.sans.org/diary.html?storyid=3979), Arbor Sert (http://asert.arbornetworks.com/2008/02/new-storm-valentines-day-campaign), Sophos (http://www.sophos.com/security/blog/2008/02/1067.html).
LINK per approfondimenti:
Report @ PrevX (http://www.prevx.com/blog/80/Storm-Worm-follow-up.html)
@ McAfee Avert Labs (http://www.avertlabs.com/research/blog/index.php/2008/02/12/valentine-nuwar/)
@ Sophos (http://www.sophos.com/security/blog/2008/02/1067.html?_log_from=rss)
Fonti: varie via Tweakness (http://www.tweakness.net/index.php?topic=4356)