Edgar Bangkok
16-09-2008, 08:51
martedì 16 settembre 2008
Continuano gli 'aggiornamenti' a links malware su forum .IT che vedono ogni giorno qualche ulteriore novita' in fatto di links e immagini postate.
Quella che vediamo e' la pagina odierna di uno dei tanti forum, su .IT, che linkano a malware.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/mainforanimateobfu.jpg
Questa volta l'utilizzo di .gif animate, cosa non comune, fino a qualche tempo fa, riguarda le immagini porno allegate al post.
Si tratta di una serie di gif che sono scaricate da un sito con whois USA che tramite un redirect
connette, chi clicca su una delle immagini o sui links presenti nel testo del post, a questa pagina
(img sul blog)
su server con IP, appartenente ad hoster ucraino, che tra le altre cose ha l'indirizzo del sito che, per cercare di rendersi il meno possibile visibile, propone una pagina di account sospeso, quando in realta' e' ben funzionante.
(img sul blog)
Esaminando in dettaglio l'url del falso player si puo' notare come anche questa volta sia presente il diffuso sistema di caricare differenti layout e relative finestre di avviso attraverso una codifica numerica presente sull'indirizzo (es ..../1/... ..../2/.... ecc...)
Quella che vediamo e' una animazione che propone i diversi layout presenti variando la chiave numerica da 1 a 5:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/moviescreenplayers.gif
A questo punto, in maniera automatica, se gli scripts sono attivi sul browser, oppure cliccando sull'immagine del player viene scaricato un file eseguibile che esaminiamo in dettaglio.
Come altre volte il file eseguibile non risiede sul medesimo server che hosta il sito web di falsi player ma su
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/whoismalware.jpg
sfruttando il sistema della codifica dell'url che richiama il download del file eseguibile che presentera' diversi valori di checksum a seconda del valore numerico presente come nome di file.
(img sul blog)
Vediamo come, ad esempio, variando di qualche unita' il nome del file exe originario (in giallo),
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/md5variab.jpg
otteniamo un differente valore di checksum sul file exe scaricato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/hash.jpg
Il risultato e' infatti il download di un file eseguibile, sempre con il medesimo nome c-setup.exe , ma che analizzato presenta diversi valori di checksum . (nel report si vedono nomi diversi di file setup dovuti al programma che effettua il download e che rinomina i files per permetterne il salvataggio tutti nel medesimo folder. Es ( C-setup(1) .... (2)......... (n))
(img sul blog)
In definitiva con un valore numerico differente nel nome verra; scaricato un file con differente codice MD5 o SHA1.
Il malware, e' come sempre poco conosciuto dai vari software AV
(img sul blog)
ed una volta in esecuzione sul pc colpito stabilisce alcune connessioni Internet ad esempio con
(img sul blog)
dove notiamo tra gli altri anche un link a
(img sul blog)
anche questo gia' noto hoster di siti e pagine pericolose.
Edgar :D
fonte: http://edetools.blogspot.com/
Continuano gli 'aggiornamenti' a links malware su forum .IT che vedono ogni giorno qualche ulteriore novita' in fatto di links e immagini postate.
Quella che vediamo e' la pagina odierna di uno dei tanti forum, su .IT, che linkano a malware.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/mainforanimateobfu.jpg
Questa volta l'utilizzo di .gif animate, cosa non comune, fino a qualche tempo fa, riguarda le immagini porno allegate al post.
Si tratta di una serie di gif che sono scaricate da un sito con whois USA che tramite un redirect
connette, chi clicca su una delle immagini o sui links presenti nel testo del post, a questa pagina
(img sul blog)
su server con IP, appartenente ad hoster ucraino, che tra le altre cose ha l'indirizzo del sito che, per cercare di rendersi il meno possibile visibile, propone una pagina di account sospeso, quando in realta' e' ben funzionante.
(img sul blog)
Esaminando in dettaglio l'url del falso player si puo' notare come anche questa volta sia presente il diffuso sistema di caricare differenti layout e relative finestre di avviso attraverso una codifica numerica presente sull'indirizzo (es ..../1/... ..../2/.... ecc...)
Quella che vediamo e' una animazione che propone i diversi layout presenti variando la chiave numerica da 1 a 5:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/moviescreenplayers.gif
A questo punto, in maniera automatica, se gli scripts sono attivi sul browser, oppure cliccando sull'immagine del player viene scaricato un file eseguibile che esaminiamo in dettaglio.
Come altre volte il file eseguibile non risiede sul medesimo server che hosta il sito web di falsi player ma su
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/whoismalware.jpg
sfruttando il sistema della codifica dell'url che richiama il download del file eseguibile che presentera' diversi valori di checksum a seconda del valore numerico presente come nome di file.
(img sul blog)
Vediamo come, ad esempio, variando di qualche unita' il nome del file exe originario (in giallo),
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/md5variab.jpg
otteniamo un differente valore di checksum sul file exe scaricato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/agg%20zlob%201%209/hash.jpg
Il risultato e' infatti il download di un file eseguibile, sempre con il medesimo nome c-setup.exe , ma che analizzato presenta diversi valori di checksum . (nel report si vedono nomi diversi di file setup dovuti al programma che effettua il download e che rinomina i files per permetterne il salvataggio tutti nel medesimo folder. Es ( C-setup(1) .... (2)......... (n))
(img sul blog)
In definitiva con un valore numerico differente nel nome verra; scaricato un file con differente codice MD5 o SHA1.
Il malware, e' come sempre poco conosciuto dai vari software AV
(img sul blog)
ed una volta in esecuzione sul pc colpito stabilisce alcune connessioni Internet ad esempio con
(img sul blog)
dove notiamo tra gli altri anche un link a
(img sul blog)
anche questo gia' noto hoster di siti e pagine pericolose.
Edgar :D
fonte: http://edetools.blogspot.com/