martedì 10 febbraio 2009

E' cambiato dopo qualche settimana il tema proposto dalle pagine distribuite da Waledac botnet.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/page2009-02-10_084801.jpg

Si tratta adesso di questa pagina che, ed e' una novita', propone il download di un “Valentines Card Development Kit”, praticamente un software per creare "nicely designed Valentines Card for your sweetheart" cioe' card di auguri per la festa di San Valentino.

Sia il disegno che i links puntano a file eseguibile con differenti nomi
Qui vediamo alcuni di questi eseguibili

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/files.jpg

che si differenziano oltre che per il nome anche per le dimensioni del file e naturalmente per il contenuto del codice malware che viene come al solito modificato con frequenza per eludere i controlli dei softwares AV.

La variazione dei codici inseriti sembrerebbe piu veloce che quella dei precedenti files Waledac e un esame con VT dimostra scarso riconoscimento da parte dei piu' usati software AV.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/vthappyvale.jpg

Il codice sorgente della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/source.jpg

mostra oltre che ai links al file eseguibile anche un iframe con indirizzo che punta a sito web che, al momento di scrivere il post era offline.
Un report parziale con lo script Autoit whois, vede sempre adesso ai primi posti, come IP attivi Waledac, USA e UK anche se altre nazioni come Cina e Korea hanno avuto e forse hanno ancora un grande numero di pc compromessi facenti parte della botnet.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/reportwhois.jpg
Sembrerebbe pero', come risulta anche da altri trackers, che chi gestisce la botnet tenda al momento a escludere dai computer attivi Waledac quelli cinesi e in parte ancke koreani.


Edgar :D

fonte: http://edetools.blogspot.com/2009/02/valentines-card-development-kit.html

Il layout della pagina proposta da Waledac botnet e' leggermente cambiato
(img sul blog)
Abbiamo adesso la presenza di un iframe che punta a 'fake' motore di ricerca che a sua volta, cliccando sulle opzioni presenti, redirige su altra pagina che elenca links a pharmacy, ecc... comunque non funzionanti.
Questo il codice source attuale della pagina Waledac
(img sul blog)
Come in precedenza vengono naturalmente sempre linkati anche i files eseguibili contenenti il malware.

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/aggiornamento-waledac-11-febbraio.html

mercoledì 11 febbraio 2009

Ancora novita' sulle pagine del falso programma di creazione cartoline di San Valentino distribuite dalla botnet Waledac

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/homemodif2009-02-11_214631.jpg
La pagina ora presenta un nuovo iframe che a differenza di quello del mattino punta nuovamente ad uno dei domini Waledac e precisamente
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/sourcepomerig.jpg

Come si vede il codice presente nell'iframe e' ora ospitato in una sottopagina di un dominio Waledac (stesso indirizzo gia' presente ieri sulle pagine Waledac ma che non era attivo)

A questo punto eseguendo webscanner con l'opzione di ricerca per contenuti
(img sul blog)
abbiamo la conferma che piu' domini Waledac (quelli in rosso)

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/reportwebscanner.jpg

linkano oltre che alla pagina principale anche ad un contenuto aggiuntivo e precisamente questo
(img sul blog)
visualizzato all'interno dell'iframe.

Si tratta di una serie di links che puntano ad una pagina in 2 lingue (russo-inglese)
(img sul blog)
che reclamizza software che sembrerebbe utilizzato per analisi e statistiche di traffico in rete ecc...

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/aggiornamento-waledac-11-febbraio_11.html

venerdì 13 febbraio 2009

La botnet Waledac a poche ore dalla ricorrenza di San Valentino e' in piena attivita'

Infatti adesso l'immagine proposta dalla pagina della falsa e-card cambia con frequenza di pochi minuti anche ricaricando il medesimo dominio Waledac insieme al nome del file malware linkato sia cliccando sull'immagine che sul link di testo.
(img sul blog)
E' anche sempre presente l'Iframe, gia' visto in precedenza anche se sulla pagina non viene piu' visualizzata la finestra contenente i numerosi links .

Ecco alcune delle nuove immagini proposte dalla pagina Waledac


http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/card12009-02-13_220513.jpg

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/card22009-02-13_220513.jpg

che continuano a variare caricando anche il medesimo dominio dopo un breve intervallo di tempo (60 – 120 secondi)

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/gallery.jpg

Le immagini proposte hanno continuato a cambiare senza che si ripetessero quelle gia' visualizzate cosa che fa' pensare che la 'libreria di immagini' usata da Waledac contenga adesso parecchie immagini sul tema di San Valentino.

Il file eseguibile viene sempre poco riconosciuto da una scansione con i software presenti su VT

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/valentinekit/vt.jpg


Ricordo come sempre che i domini visibili negli screenshot sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/aggiornamento-waledac-13-febbraio.html

sabato 14 febbraio 2009

Un breve report al riguardo della distribuzione degli IP di provenienza di computers compromessi da Waledac e facenti parte della botnet.

Questa mattina, sempre ai primi posti UK ed Usa.
(IMG sul blog)
Il report ottenuto ciclando un whois su dominio Waledac da una idea indicativa della distribuzione di IP provenienti da diversi paesi.

La Cina, che viene ritenuta come una delle nazioni con il piu' alto numero di macchine infette, rimane ancora quasi asssente dall'elenco (confermato anche dai report di tracker online come Sudosecure) , cosa che potrebbe anche essere non casuale ma voluta da chi gestisce la botnet.

Edgar :D

fonte: http://edetools.blogspot.com/2009/02/aggiornamento-waledac-14-febbraio.html