Edgar Bangkok
21-09-2008, 05:14
domenica 21 settembre 2008
N.B. si tratta di pagine con collegamenti a malware attivo Usate quindi le dovute precauzioni se visitate questi siti.
Ecco un interessante link presente su uno dei tanti forum .IT utilizzati per distribuire links a pagine pericolose.
(img sul blog)
che presenta nel link, per aumentare le probabilita' che venga cliccato, il nome di un reale sito francese che distribusce contenuti porno e links a siti con contenuti simili:
(img sul blog)
Come sempre l'aggiornamento in tempo reale del post sul forum permette di esaminare le ultime novita' in fatto di files con contenuto malware.
(img sul blog)
La pagina caricata simula ancora una volta un falso player video
(img sul blog)
che in automatico o cliccando sul falso lettore multimediale propone il download di un file eseguibile.
Da notare che a distanza di un giorno e' cambiato l'indirizzo del sito da dove viene scaricato il file anche se simile come url
(img sul blog)
Il file exe ad una prima analisi il giorno 19 risultava completamente privo di avvisi di presenza malware presentandosi come file non pericoloso.
(img sul blog)
Chiaramente questo era in contrasto da tutti gli altri indizi (links al sito con testo di genere porno, pagina con falso player video , sistema adottato per proporre lo scaricamento del file in automatico ecc...) che facevano sospettare il file come appartenente ai consueti malware distribuiti come codecs video o falsi setup di player.
Analizzato successivamente il 20 settembre il file presentava , finalmente, una seppur minima indicazione di contenuti malware:
(img sul blog)
A questo punto si e' provato ad analizzare il file con altri servizi di scansione AV online
Da notare i differenti report da parte dei vari siti online di scansione
Jotti ad esempio proponeva solo il NOD32 che identificava il file come malware
(img sul blog)
mentre , come altre volte gia successo, VirScan dava una riposta completamente diversa, al riguardo del nome di antivirus che rileva la minaccia
(img sul blog)
Chiaramente, per tutti i report si e' verificato che l'MD5 fosse identico.(la data e l'ora indicate nei vari reports invece differiscono tra loro ma in ogni caso i files sono stai inviati ai siti di scansione online tutti allo stesso momento)
Per quanto si riferisce invece ai vari siti che propongono una analisi del file malevolo eseguendolo in SandBox nessuno dei piu' noti e' riuscito ad analizzare il file come vediamo ad esempio dal report di Threat Expert
(img sul blog)
o dal messaggio mal di Norman Sandbox
(img sul blog)
Da notare che il whois della pagina e del server che ospita il malware punta a siti hostati in USA ed inoltre la pagina con falso player presenta, differentemente da altre volte alcuni Java Scripts offuscati, che sembrerebbero pero non attivarsi usando Firefox.
Una terza analisi eseguita dopo qualche ora ha nuovamente mostrato che nessun software AV di quelli presenti nel report VT rileva adesso il contenuto malware del file.
Il giorno 21 una nuova scansione del file eseguibile dimostra che il riconoscimento del pericolo contenuto nel file e sempre praticamente inesistente.
(img sul blog)
Adesso VT mostra che solo Prevx riconosce la minaccia ma ancora una volta differenti siti di scansione AV multipla online danno differenti risultati
Ecco ad esempio con VirScan
(img sul blog)
mentre Jotti da il file come esente da qualsiasi problema
A questo punto una analisi con la SandBox di Anubis (servizio non era disponibile al momento delle prime analisi del file) ha finalmente permesso di avere qualche info in piu' sul contenuto del file eseguibile
Questo il sommario dell'esecuzione del file
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/anubis1.jpg
e queste le attivita' di rete relative
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/anubisnetworkat1.jpg
Si notano alcune connessioni ad un sito che scarica sul pc alcuni files con contenuti sicuramente dannosi mentre il sito e' registrato a nome di
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/dbasecom2008-09-21_084344.jpg
che e' una ulteriore conferma sul genere di files scaricati
Come si vede questo file eseguibile, tra quelli recentemente esaminati, si sta dimostrando uno dei piu' efficienti come capacita di occultamento del codice malevolo rendendo, almeno per il momento molto difficoltoso il riconoscimento del malware, da parte dei piu' conosciuti softwares AV e dimostra come anche a distanza di giorni praticamente non ci sia ancora una risposta efficace da parte dei piu' noti softwares AV in commercio.
Inoltre, e' interessante notare come differenti servizi di scansione online abbiano diverse risposte per il medesimo file e la medesima applicazione antivirus ma in questo caso le cause possono essere molte (differente versione del software AV con differenti aggiornamenti, diverso ambiente di test ed anche differenti parametri di scansione nei confronti del codice esaminato , ecc....)
Edgar :D
fonte; http://edetools.blogspot.com/
N.B. si tratta di pagine con collegamenti a malware attivo Usate quindi le dovute precauzioni se visitate questi siti.
Ecco un interessante link presente su uno dei tanti forum .IT utilizzati per distribuire links a pagine pericolose.
(img sul blog)
che presenta nel link, per aumentare le probabilita' che venga cliccato, il nome di un reale sito francese che distribusce contenuti porno e links a siti con contenuti simili:
(img sul blog)
Come sempre l'aggiornamento in tempo reale del post sul forum permette di esaminare le ultime novita' in fatto di files con contenuto malware.
(img sul blog)
La pagina caricata simula ancora una volta un falso player video
(img sul blog)
che in automatico o cliccando sul falso lettore multimediale propone il download di un file eseguibile.
Da notare che a distanza di un giorno e' cambiato l'indirizzo del sito da dove viene scaricato il file anche se simile come url
(img sul blog)
Il file exe ad una prima analisi il giorno 19 risultava completamente privo di avvisi di presenza malware presentandosi come file non pericoloso.
(img sul blog)
Chiaramente questo era in contrasto da tutti gli altri indizi (links al sito con testo di genere porno, pagina con falso player video , sistema adottato per proporre lo scaricamento del file in automatico ecc...) che facevano sospettare il file come appartenente ai consueti malware distribuiti come codecs video o falsi setup di player.
Analizzato successivamente il 20 settembre il file presentava , finalmente, una seppur minima indicazione di contenuti malware:
(img sul blog)
A questo punto si e' provato ad analizzare il file con altri servizi di scansione AV online
Da notare i differenti report da parte dei vari siti online di scansione
Jotti ad esempio proponeva solo il NOD32 che identificava il file come malware
(img sul blog)
mentre , come altre volte gia successo, VirScan dava una riposta completamente diversa, al riguardo del nome di antivirus che rileva la minaccia
(img sul blog)
Chiaramente, per tutti i report si e' verificato che l'MD5 fosse identico.(la data e l'ora indicate nei vari reports invece differiscono tra loro ma in ogni caso i files sono stai inviati ai siti di scansione online tutti allo stesso momento)
Per quanto si riferisce invece ai vari siti che propongono una analisi del file malevolo eseguendolo in SandBox nessuno dei piu' noti e' riuscito ad analizzare il file come vediamo ad esempio dal report di Threat Expert
(img sul blog)
o dal messaggio mal di Norman Sandbox
(img sul blog)
Da notare che il whois della pagina e del server che ospita il malware punta a siti hostati in USA ed inoltre la pagina con falso player presenta, differentemente da altre volte alcuni Java Scripts offuscati, che sembrerebbero pero non attivarsi usando Firefox.
Una terza analisi eseguita dopo qualche ora ha nuovamente mostrato che nessun software AV di quelli presenti nel report VT rileva adesso il contenuto malware del file.
Il giorno 21 una nuova scansione del file eseguibile dimostra che il riconoscimento del pericolo contenuto nel file e sempre praticamente inesistente.
(img sul blog)
Adesso VT mostra che solo Prevx riconosce la minaccia ma ancora una volta differenti siti di scansione AV multipla online danno differenti risultati
Ecco ad esempio con VirScan
(img sul blog)
mentre Jotti da il file come esente da qualsiasi problema
A questo punto una analisi con la SandBox di Anubis (servizio non era disponibile al momento delle prime analisi del file) ha finalmente permesso di avere qualche info in piu' sul contenuto del file eseguibile
Questo il sommario dell'esecuzione del file
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/anubis1.jpg
e queste le attivita' di rete relative
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/anubisnetworkat1.jpg
Si notano alcune connessioni ad un sito che scarica sul pc alcuni files con contenuti sicuramente dannosi mentre il sito e' registrato a nome di
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/codecs%2021%2009%2008/dbasecom2008-09-21_084344.jpg
che e' una ulteriore conferma sul genere di files scaricati
Come si vede questo file eseguibile, tra quelli recentemente esaminati, si sta dimostrando uno dei piu' efficienti come capacita di occultamento del codice malevolo rendendo, almeno per il momento molto difficoltoso il riconoscimento del malware, da parte dei piu' conosciuti softwares AV e dimostra come anche a distanza di giorni praticamente non ci sia ancora una risposta efficace da parte dei piu' noti softwares AV in commercio.
Inoltre, e' interessante notare come differenti servizi di scansione online abbiano diverse risposte per il medesimo file e la medesima applicazione antivirus ma in questo caso le cause possono essere molte (differente versione del software AV con differenti aggiornamenti, diverso ambiente di test ed anche differenti parametri di scansione nei confronti del codice esaminato , ecc....)
Edgar :D
fonte; http://edetools.blogspot.com/