Edgar Bangkok
20-11-2008, 04:26
giovedì 20 novembre 2008
E' di ieri un interessante post sul blog "PC al Sicuro" (http://www.pcalsicuro.com/main/2008/11/trojandrmlive-abusa-della-protezione-drm/) nel quale si apprende come adesso, tramite l'uso di files multimediali protetti utilizzando la tecnologia DRM opportunamente 'adattata' si forza il media player ad acquisire una licenza fasulla che connette verso un falso sito web.
Il file eseguibile scaricato dopo alcuni redirect appare come un installer per la licenza, ma in realta' si tratta di un trojan. che Prevx identifica come Trojan.DRMLive.
Il sito da cui verrebbe scaricato il file eseguibile malware e' cleanlive(dot)net.
E' interessante notare come cleanlive(dot)net un whois del quale punta in
(img sul blog)
non sia nuovo nell'ospitare files eseguibili in realta' malware ed anzi alcuni malware ospitati sul sito sembrano avere qualche analogia con il file malware individuato ora.
(img sul blog)
Vediamo ad esempio questa pagina di un sito che propone crack e serial per applicazioni Windows
(img sul blog)
con links ad eseguibili ospitati anche in questo caso su cleanlive(dot)net
(img sul blog)
Questi i due file scaricati
(img sul blog)
che una prima analisi con VT dimostra essere files malware con il medesimo contenuto (vedi ad esmpio SHA1)
(img sul blog)
(img sul blog)
Esaminando ora con Anubis il comportamento del file eseguibile notiamo che sembrerebbe avere qualche analogia con il file malware scaricato dal falso DRM
Ad esempio si nota anche in questo malware un coinvolgimento della libreria di sistema advapi32.dll
(img sul blog)
cosi' come la l'uso del processo spoolsv.exe
(img sul blog)
che porta alla creazione di directory nascoste
(img sul blog)
Ecco utilizzando http://www.joebox.org/ un dettaglio dei nomi di files che utilizzano il formato tempo-[random].tmp.
L'attivita' di rete del malware quando eseguito
(img sul blog)
coinvolge IP di siti ben noti per i loro contenuti pericolosi come ad esempio
(img sul blog)
Chiaramente non si tratta del medesimo malware ma in ogni caso, anche dallo scarso riconoscimento del file pericoloso da parte di numerosi antivirus siamo di fronte ad un ennesimo tentativo di infettare un elevato numero di pc.
In questo caso si dimostra ancora una volta come i programmi di crack ed i generatori di key per software commerciale siano i tra i preferiti per diffondere questo genere di contenuti pericolosi.
Edgar :D
fonte: http://edetools.blogspot.com/
fonte post Trojan.DRMLive abusa della protezione DRM su http://www.pcalsicuro.com
E' di ieri un interessante post sul blog "PC al Sicuro" (http://www.pcalsicuro.com/main/2008/11/trojandrmlive-abusa-della-protezione-drm/) nel quale si apprende come adesso, tramite l'uso di files multimediali protetti utilizzando la tecnologia DRM opportunamente 'adattata' si forza il media player ad acquisire una licenza fasulla che connette verso un falso sito web.
Il file eseguibile scaricato dopo alcuni redirect appare come un installer per la licenza, ma in realta' si tratta di un trojan. che Prevx identifica come Trojan.DRMLive.
Il sito da cui verrebbe scaricato il file eseguibile malware e' cleanlive(dot)net.
E' interessante notare come cleanlive(dot)net un whois del quale punta in
(img sul blog)
non sia nuovo nell'ospitare files eseguibili in realta' malware ed anzi alcuni malware ospitati sul sito sembrano avere qualche analogia con il file malware individuato ora.
(img sul blog)
Vediamo ad esempio questa pagina di un sito che propone crack e serial per applicazioni Windows
(img sul blog)
con links ad eseguibili ospitati anche in questo caso su cleanlive(dot)net
(img sul blog)
Questi i due file scaricati
(img sul blog)
che una prima analisi con VT dimostra essere files malware con il medesimo contenuto (vedi ad esmpio SHA1)
(img sul blog)
(img sul blog)
Esaminando ora con Anubis il comportamento del file eseguibile notiamo che sembrerebbe avere qualche analogia con il file malware scaricato dal falso DRM
Ad esempio si nota anche in questo malware un coinvolgimento della libreria di sistema advapi32.dll
(img sul blog)
cosi' come la l'uso del processo spoolsv.exe
(img sul blog)
che porta alla creazione di directory nascoste
(img sul blog)
Ecco utilizzando http://www.joebox.org/ un dettaglio dei nomi di files che utilizzano il formato tempo-[random].tmp.
L'attivita' di rete del malware quando eseguito
(img sul blog)
coinvolge IP di siti ben noti per i loro contenuti pericolosi come ad esempio
(img sul blog)
Chiaramente non si tratta del medesimo malware ma in ogni caso, anche dallo scarso riconoscimento del file pericoloso da parte di numerosi antivirus siamo di fronte ad un ennesimo tentativo di infettare un elevato numero di pc.
In questo caso si dimostra ancora una volta come i programmi di crack ed i generatori di key per software commerciale siano i tra i preferiti per diffondere questo genere di contenuti pericolosi.
Edgar :D
fonte: http://edetools.blogspot.com/
fonte post Trojan.DRMLive abusa della protezione DRM su http://www.pcalsicuro.com