domenica 18 gennaio 2009
Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.
Sono presenti in rete una nuova serie di siti, con IP in probabile tecnica FastFlux, che propongono notizie relative al nuovo presidente Usa Obama, e che tutto fa pensare non siano altro che la prosecuzione del tentativo di diffusione della Waledac botnet apparsa a dicembre.

Chiaramente per attirare l'attenzione le notizie sono costruite in modo da invogliare chi riceve le mails di spam e visita il sito fasullo, a cliccare sul link, come ad esempio la news nella quale si informa che Obama ha rifiutato di diventare presidente USA.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/obamaonline/home2009-01-17_235829.jpg
Una volta cliccato sul link viene proposto il download di files exe come ad esempio
usa.exe, video.exe, obamablog.exe ecc....

C'e' da dire che una prima veloce analisi del sorgente della pagina rivela anche la presenza di uno script offuscato simile a quello gia' visto sulle false pagine Waledac di auguri natalizi

Anche l'analisi del file eseguibile che viene proposto cliccando sui links presenti riconduce a Waledac botnet nei risultati proposti.
(img sul blog)

Una analisi degli IP coinvolti nella distribuzione delle pagine in tecnica fastflux dimostra questa volta la presenza anche di IP italiani.
(img sul blog)
(continua)

Edgar :D

fonte: http://edetools.blogspot.com/

Aggiornamento

http://edetools.blogspot.com/2009/01/falsi-siti-su-obama-aggiornamento.html

Edgar :D

Aggiornamento Waledac botnet 21 gennaio 09

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi

Sempre attiva la botnet che al momento linka a pagine fasulle di news circa il nuovo presidente USA Obama

Ecco un report dei principali domini, attivi e non, al momento di scrivere il post

(img sul blog)

Questo invece un particolare della pagina linkata

(img sul blog)

che mostra l'offerta di un ipotetico Obama store, costituita da una unica immagine con link al solito eseguibile con codice malware.

La distribuzione dei computer che, loro malgrado, sono diventati parte della botnet dopo essere stati colpiti dal malware, vede sempre ai primi posti USA e Korea, come d'altronde si puo' rilevare anche da altre analisi eseguite online da parte di differenti siti che si occupano di questo problema.

Sara' interessante vedere se nei prossimi giorni ci sara' una modifica del layout delle pagine e dell'argomento trattato allo scopo di mantenere sempre attiva la botnet Waledac.

Edgar :D

fonte: http://edetools.blogspot.com/2009/01/aggiornamento-waledac-botnet-21-gennaio.html

In primis un grazie sempre a Edgar che seguo sempre con estremo interesse perchè mi dà l'opportunità di testare velocemente molte soluzioni con link infetti aggiornatissimi.

Questa sera, per la curiosità degli utenti interessati a Linux ,qualche screen interessante.
Ho aperto un link e cliccato con il mouse nello store in fondo:

http://img18.picoodle.com/img/img18/3/1/21/t_Schermatam_20eff6a.png (http://www.picoodle.com/view.php?img=/3/1/21/f_Schermatam_20eff6a.png&srv=img18)

FF mi avvisa di un file Blog.exe (che è il virus) se voglio lo salvo nell'HD e poi posso naturalmente eliminarlo semplicemente.
Con Opera la finestra è diversa ma il succo è lo stesso.
Lo salvo, perchè voglio farlo analizzare al Virus Scan org:

http://www.virscan.org/report/46a798b5481f52e305243d537579ff6b.html

Ecco fatto, adesso vado a ricercare il file e lo elimino semplicemente.;)

A cosa serve l'antivirus su Linux ?

Noterete che Kaspersky,Symantec,Comodo,dr.Web per citare i più noti e/o i prodotti che recentemente sono saliti agli onori
di cronaca........latitano !!

Un breve report sui principali domini Waledac, attivi e non, al momento di scrivere il post

(img sul blog)

Come si puo' notare ancora una discreta quantita di indirizzi web e' attiva (indicati in giallo) nel linkare a computers facenti parte della botnet Waledac e relativa pagina fasulla di news circa il presidente USA Obama.

Se il comportamento della botnet Waledac sara' simile a quello della precedente botnet Storm Worm c'e' da aspettarsi che tra pochi giorni inizi lo spam relativo alla festivita' di San Valentino (14 febbraio) e messa online sui domini botnet delle relative pagine con links a malware.

Edgar :D
fonte : http://edetools.blogspot.com/2009/01/aggiornamento-waledac-botnet-22-gennaio.html

venerdì 23 gennaio 2009


Come previsto nell'ultimo post sulla botnet Waledac il genere di pagine distribuite e' cambiato

A sostituire la pagina di false news sul presidente USA Obama c'e' ora una pagina che propone

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%202/mainpage2009-01-23_161729.jpg

e il cui sorgente vediamo in questo dettaglio

(img sul blog)

e che comprende anche il consueto javascript offuscato

(img sul blog)

Cosi' come il layout che si ispira alla prossima festivita' di San Valentino anche l'eseguibile ha cambiato nome ed ora e' proposto come meandyou.exe e varianti (you.exe, youandme.exe, onlyyou.exe.....)

Una analisi VT dimostra che, come gia' succedeva per la botnet StormWorm, al momento della proposta della nuova 'versione' del malware , il riconoscimento e' praticamente nullo, almeno con una scansione on line.

(img sul blog)

(continua)

Edgar :D

sabato 24 gennaio 2009


Come sempre consiglio chi volesse visitare i links (indirizzi ip nel report) elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.



Aggiornamento reports e report txt scaricabile (http://edetools.blogspot.com/2009/01/waledac-botnet-scansione-dei-pc-infetti.html)


Edgar :D

http://edetools.blogspot.com/2009/01/waledac-botnet-aggiornamento.html

Edgar :D

Aggiornamento Waledac botnet 26 gennaio 09 (http://edetools.blogspot.com/2009/01/aggiornamento-waledac-botnet-26-gennaio.html)

Edgar :D

fonte: http://edetools.blogspot.com/

Obama, veicolo di malware (http://www.webnews.it/news/leggi/10023/obama-veicolo-di-malware/) su webnews

Waledac botnet. Aggiornamento su strani comportamenti whois

E' da circa 24 ore che un whois di un qualunque dominio Waledac attivo restituisce esclusivamente ip appartenenti a macchine locate in USA ...................

http://edetools.blogspot.com/2009/01/waledac-botnet-aggiornamento-su-strani.html

Edgar :D

In questi ultimi 3 giorni, come illustrato in precedenti post la botnet Waledac presentava un particolare comportamento in riferimento agli indirizzi IP proposti quando si apriva nel browser un indirizzo tra quelli attivi al momento.

In pratica sia una scansione whois degli IP collegati alle pagine Waledac che una analisi ad esempio del tracker www.sudosecure.net/waledac/ dimostravano che gli IP rilevati erano diventati solo ed esclusivamente appartenenti a macchine infette facenti parte della botnet e locati in USA.

Ora (8.30 AM ora di Bangkok) sembra che la situazione degli IP sia tornata come ai precedenti reports ed anche sudosecure confermerebbe questa nuova situazione.............................

fonte: http://edetools.blogspot.com/2009/01/waledac-botnet-aggiornamento-31-01.html

Edgar :D

Ancora una prova,ma questa volta nel portatile Windows, nel mio sito Waledac preferito :D cioè "bestbarack":

Avira con le definizioni aggiornate, latita.
EQS presenta a video 2 pop-up, uno evidenziato in immagine:

http://img02.picoodle.com/img/img02/3/1/31/t_bestm_eb41c15.jpg (http://www.picoodle.com/view.php?img=/3/1/31/f_bestm_eb41c15.jpg&srv=img02)

Opera mostra il file eseguibile "onlyyou.exe",ma la finestra risulta incompleta.
Solo dopo aver risposto all'HIPS la finestra assume il solito aspetto.

http://www.virscan.org/report/c8b648caeda429470774f70825c18a6f.html

Nessun intervento,le varianti del nome file (e nelle dimensioni) evidenziate da Edgar, sono presenti anche nell'invio del file all'analisi on line.

Test effettuato con RVS attivo,Opera aperto come al solito sotto DMR,alcyon rules ver.1.42.




********* AGGIORNAMENTO ************

Alle ore 12:18 SOPHOS riconosce il malware mentre quando ho fatto l'invio io era un "pianto" generale..........


**********NUOVO AGGIORNAMENTO ******************

Notate adesso al link del virus scan org inserito sopra, quanti antivirus,(questa mattina erano ZERO) riconoscono la minaccia.

Un altro esempio che oggi un HIPS è diventato indispensabile

Gli indirizzi IP di macchine compromesse sembrano ora essere abbastanza diversificati anche se ad esempio Cina e Korea che nei rilevamenti precedenti al 27 gennaio erano ai primi posti come macchine infette adesso non compaiono nel report dei trackers o comunque sono presenti in maniera molto ridotta.
In compenso sono apparsi anche alcuni IP di pc infetti appartenenti a providers italiani .................

fonte: http://edetools.blogspot.com/2009/02/waledac-botnet-aggiornamento-01.html (http://edetools.blogspot.com/2009/02/waledac-botnet-aggiornamento-01.html)

Edgar :D

Gli indirizzi IP di macchine compromesse sembrano ora essere abbastanza diversificati anche se ad esempio Cina e Korea che nei rilevamenti precedenti al 27 gennaio erano ai primi posti come macchine infette adesso non compaiono nel report dei trackers o comunque sono presenti in maniera molto ridotta.
In compenso sono apparsi anche alcuni IP di pc infetti appartenenti a providers italiani .................

fonte: http://edetools.blogspot.com/2009/02/waledac-botnet-aggiornamento-01.html (http://edetools.blogspot.com/2009/02/waledac-botnet-aggiornamento-01.html)

Edgar :D

Ciao Edgar anche io ho notato il problema del sito VirusTotal.
Invece al virusScanJotti nessun problema come per il VirusScan.org.
E' da questa mattina che invio e/o reinvio il file a destra e manca......:D :D

Adesso un pò di riposo.....;)

Riporto sù il 3D per far notare agli utenti che hanno visionato il link sopra del VirusScan.org quanti antivirus adesso riconoscono la minaccia.
Sono 5/37.
Rispetto a zero di stamattina.
Credo di far cosa gradita.
Saluti.;)

Oggi la situazione è nuovamente variata.

Il team che sviluppa questa minaccia è notevolmente attivo.
Il malware infatti è stato modificato rispetto ad ieri nelle dimensioni.
Oggi è di 401408 byte mentre ieri era di 392704 byte.
Si può fare un paragone tra ieri ed oggi al link sotto del VirusScan.org:

http://www.virscan.org/report/c8899d59ee11d6694a97c4ec9031b5d0.html

http://www.virustotal.com/it/analisis/973fe5f4963f1979ff27a793b8a39c26

Il malware è rilevato da 4 antivirus on line di cui il più noto è naturalmente NOD32.


p.s. Naturalmente con il passare delle ore la situazione in rilevamenti si aggiorna.
E quindi più sw riconoscono la minaccia.
Ma esiste sempre un periodo in cui il mutato malware resta sconosciuto alla maggioranza dei prodotti.

Spam Nocivo di San Valentino (http://www.tweakness.net/news/4938) su tweakness

Ho fatto un test con un campione prelevato il 29/1/09 da uno dei siti postati da Edgar Bangkok, youandme.exe.

http://www.hwupgrade.it/forum/showpost.php?p=26140402&postcount=6211

Spam Nocivo di San Valentino (http://www.tweakness.net/news/4938) su tweakness

Così a naso.. sembra sempre lui.

Spero che arrivi anche tra il mio spam :oink: :D

Ciao c.m.g :)

Così a naso.. sembra sempre lui.

Spero che arrivi anche tra il mio spam :oink: :D

Ciao c.m.g :)

certo che è lui

ciao ;)

mercoledì 4 febbraio 2009

Sono sempre attivi molti dei domini Waledac visti nei giorni scorsi
Eco un elenco verificato con Webscanner di domini Waledac che linkavano alla pagina che distribuisce il malware.
(img sul blog)
Ora VT dimostra nuovamente un basso riconoscimento del pericolo, almeno da quanto si nota dalla scansione on line del file malware.
(img sul blog)

Queste invece alcuni parti del contenuto di un articolo apparso su Lavasoft Blog

Si tratta di una intervista a Jeremy Conway, un ricercatore indipendente di sicurezza che scrive su Sudosecure.net e che ha attivato uno stretto monitoraggio della botnet Waledac

----------------------------------------------------------------------------------------

* Come stai seguendo Waledac botnet e da quanto tempo e' apparsa in rete ?

“Waledac apparve per la prima volta a meta' dicembre, ed ho iniziato un tracking 'aggressivo' di monitoraggio dopo il 2 gennaio.
Per monitorare questo worm, ho scritto degli scripts che sfruttano la struttura double flux di Waledac botnet..........
L'altra parte del mio monitoraggio consiste nel recuperare l'eseguibile Waledac ogni 30 minuti ed eseguire un semplice MD5 sul file per identificarne le nuove versioni ..................”

* Come vengono infettati i computers ?

"Il principale obiettivo di Waledac botnet e' quello di distribuire spam.
Spam template sono passati con un sistema HTTP peer to peer tra i computer infetti, questo e' anche il motivo per cui molti ricercatori si riferiscono al Waledac come HTTP P2P botnet..........
Gli utenti vengono infettati sfruttando tecniche di ingegneria sociale attraverso messaggi di spam.
Ci sono stati diversi temi:
Il primo e' stato un tema di Natale in cui all'utente e' stato detto che ha ricevuto una cartolina postale o e-card da un amico ed e' stato chiesto di scaricarla.
Il secondo grande tema era un tema politico che tentava di sfruttare l'inaugurazione e la popolarita' del presidente Obama.
Questo tema ha inviato numerosi messaggi di spam che sembravano essere notizie del tipo “Barack Obama ha rifiutato di essere presidente".
Questi messaggi di spam puntavano ad un finto blog di Obama con tutti i link presenti che proponevano all'utente finale di scaricare ed eseguire il trojan Waledac .
Il terzo e attuale tema e' un tema di San Valentino con messaggi del tipo "Qualcuno ti ama"............

* Quale e' la portata della botnet di PC compromessi creata? Che nazione ha la maggioranza dei PC infetti ?

"Waledac" botnet "ha circa 20.000 – 30.000 nodi infetti e sta crescendo.
Questa stima e' stata ricavata dalla scansione della botnet e l'analisi di computer infetti; la Cina sembra essere la regione piu' duramente colpita, seguita da La Repubblica di Corea, e poi gli Stati Uniti.
Sono stato personalmente sorpreso di trovare gli Stati Uniti, come solo la terza nazione piu' infettati visto il tema specifico per gli USA relativo a Obama."

* Che cosa si conosce circa gli autori di questo malware?

"Molto poco e' veramente conosciuto sui veri autori del Trojan Waledac, ma si sospetta che i russi di Business Network (RBN) siano coinvolti.
Credo che questo sospetto derivi da tanti ricercatori che pensano che Waledac sia il sostituto di Storm Worm .................. ".

* Quali consigli daresti agli utenti di computer per prevenire l'infezione ?.

"Il miglior consiglio che posso dare agli utenti e' di non scaricare files eseguibili da siti che sostengono che e' necessario installare files per visualizzare ulteriori contenuti del sito web.
La maggior parte dei siti Web legittimi non chiede agli utenti di scaricare un software aggiuntivo per visualizzare il loro contenuto.
Un altro consiglio che posso dare e' di non aprire i messaggi e-mail da persone che non conosci, e non seguire i link all'interno di questi messaggi.
Dopo di che, sarebbe opportuno anche avere sempre il software antivirus aggiornato e funzionante. "

Articolo completo dell'intervista su http://www.lavasoft.com/company/blog/?p=502

----------------------------------------------------------------------------------------------

Per quanto si riferisce ai miei report ottenuti con mezzi molto piu' semplici c'e' comunque da notare che sono abbastanza allineati con i risultati molto piu' precisi ed affidabili ottenuti dal tracker sudosecure.net.

Sia il report del tracker che anche i report ottenuti semplicemente con un whois ciclico concordano nell'indicare che in questi ultimi giorni , anche se Cina e Korea sono sicuramente ai primi posti come macchine infette, l'elenco delle nazioni coinvolte nella botnet che vengono linkate al momento e' cambiato.
(img sul blog)
Come si vede in una breve scansione fatta con lo script Autoit la Cina non appare nell'elenco degli IP facenti parte della botnet ed anche la Korea appare in maniera abbastanza ridotta.

Ricordo come sempre che sia i domini elencati che molti degli IP nel report possono essere ancora attivi e linkare al file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file malware.

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/aggiornamento-waledac-4-febbraio.html

giovedì 5 febbraio 2009

La percentuale di IP provenienti da macchine italiane facenti parte della botnet Waledac sembrerebbe in aumento
Questi alcuni degli indirizzi IP rilevati ieri e relativi all'Italia
(img sul blog)
Un verifica di alcuni di questi confermava che erano indirizzi IP che puntavano effettivamente a macchine infette
(img sul blog)
Anche questa mattina (ora thai) appaiono nel report dello script whois alcuni IP riconducibili all'Italia
(img sul blog)
che verificati aprono pagine Waledac con il tema di San Valentino.
(img sul blog)

E distribuiscono i 'soliti' files eseguibili malware
(img sul blog)
che al momento VT vede come
(img sul blog)

Edgar :D

fonte: : http://edetools.blogspot.com/2009/02/aggiornamento-waledac-5-febbraio.html

venerdì 6 febbraio 2009


Per verificare se uno script che esegue un whois ripetuto di un dominio Waledac possa avvicinarsi a fornire dati attendibili al riguardo della distribuzione dei PC infetti della omonima Botnet ho voluto fare alcuni test al riguardo della distribuzione degli IP.
Per questo ho confrontato i risultati forniti dal tracker Waledac di sudosure.net con quelli ottenuti eseguendo lo script Autoit con whois ripetuto sul dominio Waledac attivo yourgreatlove.com

Per eseguire un confronto tra i dati ottenuti con lo script e quelli con il tracker, lo stesso script e' stato eseguito per circa 5 ore (questa mattina 6 febbraio dalle ore 7 alle 12 ora thai) sul dominio yourgreatlove.com ed ho poi provveduto ad acquisire gli IP rilevati dal Tracker Sudosecure per l'equivalente intervallo di tempo. (7 -12)

A questo punto ho eseguito un conteggio degli IP suddivisi per nazione ed acquisiti con i due metodi e trasformato i valori in percentuale in quanto attraverso lo script whois la quantita' di IP catturati e' piu' alta del numero di IP presenti sul report del Tracker sempre per uno stesso intervallo di tempo.

Ai dati acquisiti tramite script inoltre e' stato applicato un filtro per eliminare gli IP duplicati.

Ecco i risultati ottenuti
(img sul blog)
che hanno superato tutte le aspettative in fatto di convergenza dei valori trovati.

Come si puo' notare ad esempio la percentuale degli IP rilevati di provenienza USA per una scansione di cinque ore del dominio yourgreatlove.com e quasi identica a quello rilevata con il tracker, ma anche altri valori sono abbastanza vicini.

Inoltre ho voluto verificare se, come prevedibile, IP acquisiti con i due sistemi fossero identici come valore (esempio su IP di provenienza UK)
(img sul blog)
ed infatti abbiamo una grande quantita di stessi numeri IP tra quelli rilevati dal tracker (in giallo) e quelli dello script whois (in verde) (in rosso i valori uguali)

Sembra quindi confermato che, anche nella sua estrema semplicita', l'eseguire un whois ripetuto su un dominio botnet sia abbastanza indicativo della provenienza dei pc che fanno parte della rete di macchine compromesse anche se evidentemente il tracker simula molto piu' da vicino il comportamento di un pc in rete botnet e quindi acquisisce i risultati con maggiore precisione.

Come commento ai risultati c'e' da notare come l'Italia , limitatamente all'intervallo di tempo preso in considerazione e in entrambi i report (script e tracker) si piazzi al quinto posto della graduatoria il che dimostra una certa attenzione agli IP italiani da parte della botnet, mentre anche il Regno Unito passa al secondo posto con notevole incremento di pc infetti
Invece sia la Korea che la Cina (non presente nel report del Tracker) passano in posizioni molto piu basse anche se si stima che abbiano ancora il maggior numero di PC compromessi online.

In riferimento al numero di pc infetti per nazione va sempre comunque ricordato che la variare dell'orario di acqusizione varia la percentuale di macchine infette online per quella zona del globo (es. ore serali giorni festivi ecc....).

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/botnet-waledac-alcune-verifiche.html

Waledac, il ritorno delle botnet (http://punto-informatico.it/2550181/PI/News/waledac-ritorno-delle-botnet.aspx) su punto informatico