Edgar Bangkok
23-09-2008, 05:11
martedė 23 settembre 2008
Continua il particolare comportamento del file malware visto in un precedente post e che si distingueva al momento della prima sua comparsa in rete, per essere sconosciuto a praticamente tutti i software AV presenti su Virus Total.
Sembra che comunque anche a distanza di qualche giorno, questo codice sia ben supportato da chi vuole distribuire malware in rete.
Infatti, una sua analisi con VT in data 22 settembre vedeva una diminuzione del numero dei softwares che rilevano la minaccia e , cosa particolare, i soli due programmi Av che riconoscevano il malware
erano,in parte, diversi dai precedenti.
Inoltre l'url del sito che hosta il file eseguibile e' nuovamente cambiata.
Una analisi con Anubis ci mostra che anche i links a cui punta MultyCodecUpgr.7(dot)exe una volta in esecuzione differiscono dai precedenti links della 'vecchia' versione
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/anubisnet.jpg
Queste le scansioni di due dei files scaricati dal codice malevolo quando in esecuzione e precisamente
ed anche
riconosciuto da molti software come applicazione di falso antivirus.
Ripetendo il 23 settembre (in mattinata ora thai) l'analisi, questa volta con i 3 siti di scansione online, gia' visti prima abbiamo sempre un risultato in linea con il precedente test
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/vtot.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/virscan2008-09-23_073954.jpg
ed ancora una volta, per il medesimo file diversi softwares che rilevano la minaccia (e comunque molto pochi)
Inoltre risulta evidente come alcuni positivi siano comunque catalogati come sospetti e non come appartenenti ad uno specifico malware.
Dalle poche indicazioni fornite riguardo a data e versione del software in uso sembrerebbe che almeno per Symantec la definizione dei virus su VT (20082309) , che rileva la minaccia, sia piu' aggiornata che sulla scansione di VirScan (20082209)
Come dicevo in precedenza ci sono comunque altri fattori che modificano la risposta del singolo software Av ad es. ambiente nel quale viene eseguito il test sul file, utilizzo di differenti settaggi dei parametri di scansione, analisi euristica differente, utilizzo di diversi metodi per passare il file ricevuto via rete al software che lo deve analizzare ecc.....
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/jotti.jpg
In ogni caso, limitatamente alle sole 3 scansioni in periodi diversi sul medesimo file, sembrerebbe che Jotti, avendo un numero molto minore di software che testano il file inviato , risulti meno efficace nel rilevare la minaccia presente.(in Jotti non compaiono nel report nel caso visto ora Symantec, Microsoft, Fortinet) e l'unico software presente cioe' F-Secure da esito negativo.
Inoltre da quanto si legge in rete Jotti “Uses linux versions of scanners, might not have the same results as windows version. “ che potrebbe essere una ulteriore spiegazione di risultati alquanto diversi
Per avere alcune ulteriori conferme si e' poi provato ad utilizzare alcuni altri siti presenti in rete che offrono scansione online di files anche se utilizzando in genere un limitato numero di softwares AV.
Ecco alcuni risultati sempre del medesimo file eseguibile
VirusChief
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/quicscan.jpg
Filterbit
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/filterbit.jpg
Virus Org con un numero di softwares nel report piu' consistente
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/virusorg.jpg
in ogni caso nessuno di questi ha individuato un problema sul file, anche solo come sospetto.
Lascio a chi legge verificare eventuali diversita', quando possibile, su data e versione dell'aggiornamento dei software usati.
In conclusione e per quanto si riferisce al sito che distribuisce questo falso codec, in realta' malware ,sembra che chi lo gestisce sia molto attivo sia nel continuo aggiornamento del codice per renderlo difficilmente rilevabile dai software Av ma anche variando, a brevi intervalli di tempo, l'indirizzo del server che hosta il file eseguibile.
Da quanto visto , appare anche evidente che fidarsi delle risposte del solo uso di software antivirus e navigare in rete cliccando su qualsiasi file eseguibile proposto non protegge assolutamente dal possibile rischio di venire colpiti da uno di questi recenti ed aggiornati malware, se non si prendono anche altre precauzioni quali blocco di scripts sul browser e possibilmente esecuzione del software che utilizziamo per navigare in rete all'interno di una SandBox per isolare possibili problemi
Chi visita siti con contenuti per adulti o comunque di dubbia affidabilita' non dimentichi mai che l'equazione 'pagina con player video che cliccato o in automatico propone di scaricare un file exe (come codec, player,setup ecc) = malware' e' sempre molto attuale,
Edgar :D
fonte: http://edetools.blogspot.com/
Continua il particolare comportamento del file malware visto in un precedente post e che si distingueva al momento della prima sua comparsa in rete, per essere sconosciuto a praticamente tutti i software AV presenti su Virus Total.
Sembra che comunque anche a distanza di qualche giorno, questo codice sia ben supportato da chi vuole distribuire malware in rete.
Infatti, una sua analisi con VT in data 22 settembre vedeva una diminuzione del numero dei softwares che rilevano la minaccia e , cosa particolare, i soli due programmi Av che riconoscevano il malware
erano,in parte, diversi dai precedenti.
Inoltre l'url del sito che hosta il file eseguibile e' nuovamente cambiata.
Una analisi con Anubis ci mostra che anche i links a cui punta MultyCodecUpgr.7(dot)exe una volta in esecuzione differiscono dai precedenti links della 'vecchia' versione
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/anubisnet.jpg
Queste le scansioni di due dei files scaricati dal codice malevolo quando in esecuzione e precisamente
ed anche
riconosciuto da molti software come applicazione di falso antivirus.
Ripetendo il 23 settembre (in mattinata ora thai) l'analisi, questa volta con i 3 siti di scansione online, gia' visti prima abbiamo sempre un risultato in linea con il precedente test
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/vtot.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/virscan2008-09-23_073954.jpg
ed ancora una volta, per il medesimo file diversi softwares che rilevano la minaccia (e comunque molto pochi)
Inoltre risulta evidente come alcuni positivi siano comunque catalogati come sospetti e non come appartenenti ad uno specifico malware.
Dalle poche indicazioni fornite riguardo a data e versione del software in uso sembrerebbe che almeno per Symantec la definizione dei virus su VT (20082309) , che rileva la minaccia, sia piu' aggiornata che sulla scansione di VirScan (20082209)
Come dicevo in precedenza ci sono comunque altri fattori che modificano la risposta del singolo software Av ad es. ambiente nel quale viene eseguito il test sul file, utilizzo di differenti settaggi dei parametri di scansione, analisi euristica differente, utilizzo di diversi metodi per passare il file ricevuto via rete al software che lo deve analizzare ecc.....
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/jotti.jpg
In ogni caso, limitatamente alle sole 3 scansioni in periodi diversi sul medesimo file, sembrerebbe che Jotti, avendo un numero molto minore di software che testano il file inviato , risulti meno efficace nel rilevare la minaccia presente.(in Jotti non compaiono nel report nel caso visto ora Symantec, Microsoft, Fortinet) e l'unico software presente cioe' F-Secure da esito negativo.
Inoltre da quanto si legge in rete Jotti “Uses linux versions of scanners, might not have the same results as windows version. “ che potrebbe essere una ulteriore spiegazione di risultati alquanto diversi
Per avere alcune ulteriori conferme si e' poi provato ad utilizzare alcuni altri siti presenti in rete che offrono scansione online di files anche se utilizzando in genere un limitato numero di softwares AV.
Ecco alcuni risultati sempre del medesimo file eseguibile
VirusChief
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/quicscan.jpg
Filterbit
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/filterbit.jpg
Virus Org con un numero di softwares nel report piu' consistente
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/multicodec%20multiscan%20av/virusorg.jpg
in ogni caso nessuno di questi ha individuato un problema sul file, anche solo come sospetto.
Lascio a chi legge verificare eventuali diversita', quando possibile, su data e versione dell'aggiornamento dei software usati.
In conclusione e per quanto si riferisce al sito che distribuisce questo falso codec, in realta' malware ,sembra che chi lo gestisce sia molto attivo sia nel continuo aggiornamento del codice per renderlo difficilmente rilevabile dai software Av ma anche variando, a brevi intervalli di tempo, l'indirizzo del server che hosta il file eseguibile.
Da quanto visto , appare anche evidente che fidarsi delle risposte del solo uso di software antivirus e navigare in rete cliccando su qualsiasi file eseguibile proposto non protegge assolutamente dal possibile rischio di venire colpiti da uno di questi recenti ed aggiornati malware, se non si prendono anche altre precauzioni quali blocco di scripts sul browser e possibilmente esecuzione del software che utilizziamo per navigare in rete all'interno di una SandBox per isolare possibili problemi
Chi visita siti con contenuti per adulti o comunque di dubbia affidabilita' non dimentichi mai che l'equazione 'pagina con player video che cliccato o in automatico propone di scaricare un file exe (come codec, player,setup ecc) = malware' e' sempre molto attuale,
Edgar :D
fonte: http://edetools.blogspot.com/