Edgar Bangkok
23-02-2009, 02:28
luned́ 23 febbraio 2009
Ricordo come sempre che i domini elencati nel report sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.
Dopo San Valentino (con pagina Waledac in tema) era prevedibile che la pagina distribuita ed il relativo file eseguibile malware venissero ulteriormente modificati da chi gestisce la botnet
Per chi non fosse ancora a conoscenza di Waledac botnet ricordo che si tratta di una rete di computer compromessi attraverso l'esecuzione di files eseguibili scaricati sul pc attraverso links presenti su mails di spam di vario genere.
Le mails puntano a pagine web , gestite dalla botnet, ossia dai computers gia' compromessi che ne fanno parte.
In pratica la botnet si sostiene e si espande attraverso il continuo aggiornamento dei pc che ne fanno parte, a seguito di utenti internet che, scaricando ed eseguendo il file malware presente nelle pagine visitate, trasformano il loro pc in una macchina della rete Waledac.
La stessa botnet puo' essere utilizzata anche per scopi diversi da quello visto come ad esempio eseguire campagne di spam sfruttando il supporto del grande numero di computers compromessi.
Ecco la nuova pagina visualizzata, da poche ore, caricando un indirizzo Waledac tra quelli attivi:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/home2009-02-23_075006.jpg
Si tratta, come vediamo, di un clone di un reale sito Usa di cui vediamo la homepage e precisamente www.couponizer.com
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/realesitocoupon.jpg
che tratta offerte commerciali e sconti sugli acquisti tramite 'coupons' ossia tagliandi di sconto che, il falso sito Waledac propone di scaricare e stampare per far eseguire il file malware linkato.
C'e' da dire che il 'comportamento' di Waledac ricorda molto da vicino quello della nota ed ormai inattiva botnet Storm Worm, che molto spesso cercava di sfruttare cloni di reali pagine web per ingannare il visitatore.
Inoltre , in un periodo di crisi finanziaria generalizzato, un sito di sconti e offerte commerciali potrebbe essere un tema che riesce a generare attenzione da chi riceve la falsa mail, che potremmo definire di phishing, e che punta alla pagina del falso sito.
A svantaggio di una diffusione su scala mondiale c'e' invece il tema trattato, che, a parte rivolgersi a utenti internet di lingua inglese, vede un'offerta' orientata a chi vive in Usa e non in altre nazioni, cosa che potrebbe limitare la riuscita della campagna di spam e distribuzione malware ai soli utenti internet degli States.
Vediamo qualche dettaglio sulla nuova pagina:
Questo il codice sorgente
(img sul blog)
dove si nota che la pagina e' praticamente costituita solo da immagini jpg che presentano tutte links a file eseguibile
Come succedeva gia' con la pagina di San Valentino, anche in questo caso, ogni circa 2 minuti, un reload anche della medesima pagina propone differenti nomi di file eseguibile.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/fileswaledac.jpg
Una analisi VT dimostra, come sempre, il basso riconoscimento, per una scansione online, del malware Waledac
anche se la percentuale di riconoscimenti varia costantemente a seconda della tempestivita' degli aggiornamenti sia da parte di chi gestisce la botnet del codice malware che dei softwares antivirus.
(img sul blog)
Nella pagina esiste sempre un iframe, come gia' visto in precedenza,
(img sul blog)
che punta a sito con links a pagina in lingua russa ed inglese e che sembrerebbe proporre vari software di analisi e statistiche traffico internet.
Questi links erano gia' presenti in passato su iframe contenuto in pagine Waledac di false e-cards di San Valentino.
Un breve report sulla distribuzione attuale degli IP dei computers compromessi mostra sempre ai primi posti le medesime nazioni viste nelle ultime settimane
(img sul blog)
Vedremo ora se la diffusione dello spam collegato alla nuova pagina sara orientato a utenze Usa o se anche altre nazioni verranno coinvolte nel tentativo di ampliare ancora l'estensione della botnet Waledac.
Edgar :D
fonte: http://edetools.blogspot.com/2009/02/waledac-botnet-cambia-tema.html
Ricordo come sempre che i domini elencati nel report sono attivi e linkano a file malware. Prendete quindi tutte le precauzioni del caso (noscript, sandboxie o pc virtuale) se volete esaminare i links proposti e il relativo file.
Dopo San Valentino (con pagina Waledac in tema) era prevedibile che la pagina distribuita ed il relativo file eseguibile malware venissero ulteriormente modificati da chi gestisce la botnet
Per chi non fosse ancora a conoscenza di Waledac botnet ricordo che si tratta di una rete di computer compromessi attraverso l'esecuzione di files eseguibili scaricati sul pc attraverso links presenti su mails di spam di vario genere.
Le mails puntano a pagine web , gestite dalla botnet, ossia dai computers gia' compromessi che ne fanno parte.
In pratica la botnet si sostiene e si espande attraverso il continuo aggiornamento dei pc che ne fanno parte, a seguito di utenti internet che, scaricando ed eseguendo il file malware presente nelle pagine visitate, trasformano il loro pc in una macchina della rete Waledac.
La stessa botnet puo' essere utilizzata anche per scopi diversi da quello visto come ad esempio eseguire campagne di spam sfruttando il supporto del grande numero di computers compromessi.
Ecco la nuova pagina visualizzata, da poche ore, caricando un indirizzo Waledac tra quelli attivi:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/home2009-02-23_075006.jpg
Si tratta, come vediamo, di un clone di un reale sito Usa di cui vediamo la homepage e precisamente www.couponizer.com
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/realesitocoupon.jpg
che tratta offerte commerciali e sconti sugli acquisti tramite 'coupons' ossia tagliandi di sconto che, il falso sito Waledac propone di scaricare e stampare per far eseguire il file malware linkato.
C'e' da dire che il 'comportamento' di Waledac ricorda molto da vicino quello della nota ed ormai inattiva botnet Storm Worm, che molto spesso cercava di sfruttare cloni di reali pagine web per ingannare il visitatore.
Inoltre , in un periodo di crisi finanziaria generalizzato, un sito di sconti e offerte commerciali potrebbe essere un tema che riesce a generare attenzione da chi riceve la falsa mail, che potremmo definire di phishing, e che punta alla pagina del falso sito.
A svantaggio di una diffusione su scala mondiale c'e' invece il tema trattato, che, a parte rivolgersi a utenti internet di lingua inglese, vede un'offerta' orientata a chi vive in Usa e non in altre nazioni, cosa che potrebbe limitare la riuscita della campagna di spam e distribuzione malware ai soli utenti internet degli States.
Vediamo qualche dettaglio sulla nuova pagina:
Questo il codice sorgente
(img sul blog)
dove si nota che la pagina e' praticamente costituita solo da immagini jpg che presentano tutte links a file eseguibile
Come succedeva gia' con la pagina di San Valentino, anche in questo caso, ogni circa 2 minuti, un reload anche della medesima pagina propone differenti nomi di file eseguibile.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/waledac%20couponizer/fileswaledac.jpg
Una analisi VT dimostra, come sempre, il basso riconoscimento, per una scansione online, del malware Waledac
anche se la percentuale di riconoscimenti varia costantemente a seconda della tempestivita' degli aggiornamenti sia da parte di chi gestisce la botnet del codice malware che dei softwares antivirus.
(img sul blog)
Nella pagina esiste sempre un iframe, come gia' visto in precedenza,
(img sul blog)
che punta a sito con links a pagina in lingua russa ed inglese e che sembrerebbe proporre vari software di analisi e statistiche traffico internet.
Questi links erano gia' presenti in passato su iframe contenuto in pagine Waledac di false e-cards di San Valentino.
Un breve report sulla distribuzione attuale degli IP dei computers compromessi mostra sempre ai primi posti le medesime nazioni viste nelle ultime settimane
(img sul blog)
Vedremo ora se la diffusione dello spam collegato alla nuova pagina sara orientato a utenze Usa o se anche altre nazioni verranno coinvolte nel tentativo di ampliare ancora l'estensione della botnet Waledac.
Edgar :D
fonte: http://edetools.blogspot.com/2009/02/waledac-botnet-cambia-tema.html